Hidden Lynx: Raffinierte Auftrags-Hacker mit Geduld

Eine äußerst raffinierte und bisher unbekannte Gruppe von Hackern steht neuen Erkenntnissen zufolge hinter einer ganzen Reihe von spektakulären Hacks seit 2009. Unter anderem brachen die Hacker bei der Sicherheitsfirma Bit9 ein, um ihren Schadcode mit gültigen Zertifikaten zu versehen und so in Firmen der Rüstungsindustrie einzuschleusen. Das Team, von Symantec in dem jetzt veröffentlichten Exposé als "Hidden Lynx" bezeichnet, besteht aus 50 bis 100 Hackern und zeichnet demnach für Angriffe auf hunderte von Organisationen auf der ganzen Welt verantwortlich.

Die Gruppe greift mit Vorliebe Ziele in der Rüstungsindustrie, dem Banken-Sektor oder im Umfeld von Regierungen an, mitunter auch mehrere Firmen gleichzeitig. Dabei kommen sowohl schnell programmierte Wegwerf-Tools als auch bis dato unbekannte Zero-Day-Lücken zum Einsatz. Die Anzahl und Mannigfaltigkeit der Hacks legt laut Symantec nahe, dass Hidden Lynx jeden angreift, wenn das Geld für den Auftrag stimmt. Laut Symantec sind sogenannte "Wasserstellen-Angriffe" (Watering Hole Attacks) eine ihrer Spezialitäten. Sie infizieren Webseiten, von denen sie wissen, dass ihr Ziel diese früher oder später besuchen wird und dringen so in die Netzwerke der Organisationen ein, um für ihre Kunden sensible Informationen zu erbeuten.

Die Hacker betreiben zwei Teams, welche die Forscher von Symantec nach der von ihnen primär eingesetzten Schadsoftware benannt haben. Team Moudoor ist fürs Grobe zuständig und greift von Bildungsorganisationen bis hin zu Banken und Strafverfolgungsbehörden alles an. Die dabei eingesetzte Moudoor-Hintertür wird wild verteilt, ohne Rücksicht auf Verluste oder Angst, dass Sicherheitsforscher der Gruppe auf die Spur kommen könnten. Team Naid dagegen greift nur spezielle Ziele, wie etwa Rüstungsunternehmen, an und geht dabei deutlich behutsamer vor. In der Manier einer militärischen Spezialeinheit warten die Mitglieder mitunter Monate, bevor sie zuschlagen.

Die Gruppe scheut sich auch nicht vor erheblichem Aufwand, um ihre Ziele zu erreichen. So auch bei dem Hack von Bit9; der Einbruch bei der Sicherheitsfirma war nur Mittel zum Zweck, um Zugriff auf die Netzwerke ihrer Kunden in der Rüstungsbranche zu erhalten. Solche Angriffe, die die Sicherheitsinfrastruktur oder Zulieferer des eigentlichen Ziels ausnutzen, um sich Zugriff zu dessen System zu verschaffen, häufen sich. So wurde zum Beispiel 2011 die Firma RSA gehackt, um im Endeffekt Lockheed Martin anzugreifen. Im Falle von Bit9 gelang Hidden Lynx der große Wurf: Durch deren kompromittierte Whitelisting-Software konnte die Gruppe ihre Tools in mehrere Rüstungsunternehmen und hunderte andere Firmen auf einmal einschleusen. Die Aktion wurde später unter dem Namen VOHO bekannt.

Laut Symantec kommen "Hidden Lynx" aus China und sind die am besten organisierte Hackergruppe, die den Sicherheitsforschern bis jetzt untergekommen ist. Selbst die von der Firma Mandiant angeführte APT1-Grupppe sei "Hidden Lynx" technisch unterlegen, so Symantec. (fab)