Die "Harkonnen Operation": Professioneller Datenklau mit deutschen Wurzeln
Eine israelische Sicherheitsfirma hat nach eigenen Angaben ein Nest von Kriminellen identifiziert, die über 12 Jahre hinweg sehr gezielt sensible Daten aus den Netzwerken von Unternehmen und Regierungen abgegriffen haben sollen.
- Fabian A. Scherschel
(Bild: Cédric Chantepie )
Eine Gruppe von Kriminellen soll seit 2002 von Deutschland, Österreich und der Schweiz aus über 300 Firmen, Forschungseinrichtungen und Regierungsorganisationen angegriffen haben. Die israelische Sicherheitsfirma Cyberintel, die den Angriff bei der Untersuchung des Netzwerkes eines deutschen Kunden entdeckt hat, nennt die großangelegte Aktion in Anlehnung an Frank Herberts Dune-Zyklus "Harkonnen Operation".
Die Kriminellen sollen über Jahre hinweg sehr gezielt Spear-Phishing-Angriffe ausgeführt und zu diesem Zweck massenweise Tarnfirmen aus dem Boden gestampft haben – komplett mit dazugehörigen Domains und SSL-Zertifikaten. Sie hätten es auf sensible Daten abgesehen und seien dabei sehr geschickt vorgegangen. Die Spuren führen vor allem nach Deutschland.
Auf Anfrage von heise Security wollte Cyberintel sich nicht zu der deutschen Firma äußern, in deren Netzwerk die Trojaner der Harkonnen zum ersten Mal entdeckt wurden. Der Schadcode soll allerdings eindeutig von deutschsprachigen Programmieren stammen und die betroffene Firma soll mit "hochkritischen Produkten und Daten" zu tun haben. Die Angriffe sollen äußerst gezielt gewesen sein. "Die Hacker wussten ganz genau, was sie suchen", so ein Sprecher der Sicherheitsfirma. Der Fall werde nun von den deutschen Behörden untersucht. Cyberintel will allerdings keine Angaben dazu machen, welche Polizeistelle genau mit dem Fall betraut sei.
Ein Netzwerk aus Hunderten von Scheinfirmen
Der aktuelle Angriff der Harkonnen habe am 14. Juni 2013 begonnen. Die Spezialisten der Firma fanden bei der Untersuchung des angegriffenen Netzwerkes zwei Trojaner namens GFILTERSVC.EXE und wmdmps32.exe – einmal im Netz der Opfer, machten sie sich auf die Suche nach sensiblen Daten und schickten sie an Kontrollserver. Um ihre Spuren zu verwischen registrierten die Angreifer Scheinfirmen mit Sitz in England und besorgten sich für deren Webseiten gültige SSL-Zertifikate. Auf diese Weise schützten sie wohl den Verkehr von den Trojanern zu den Servern vor neugierigen Augen. Außerdem wurden Webseiten mit ähnlich klingenden Namen wie legitime Web-Dienste eingerichtet und für die Schadcode-Verteilung in E-Mail-Links verwendet.
Laut Cyberintel hat die Bande die Tarn-Firmen mit Sitz in England gegründet, da das dort besonders einfach sei. Die Kriminellen sollen mindestens 833 Firmen gegründet und dafür ungefähr 150.000 US-Dollar ausgegeben haben – fast alle der Briefkasten-Firmen liefen auf die selbe Adresse. Die meisten seien bereits wieder aufgelöst worden. Durch das Netzwerk an Scheinfirmen haben die Sicherheitsforscher einen Eindruck gewonnen, wie lange die Kriminellen aktiv waren. Die Angreifer hätten zwölf Jahre unentdeckt bleiben können, da die Angriffe äußerst gezielt und subtil abgelaufen seien. (fab)
