l+f: Shopping-Center für Bot-Netz-Betreiber enttarnt
Eine dubiose Firma verkauft alles, was man für den Betrieb eines eigenen Bot-Netzes so braucht.
(Bild: heise)
Für gezielte Angriffe kommen meist spezielle Malware-Komponenten zum Einsatz, die die einschlägigen APT-Akteure selbst entwickeln, pflegen und wie ihren Augapfel behüten. Aber auch wer die dazu notwendige Expertise (noch?) nicht hat, schaut nicht in die Röhre: Bei der zwielichtigen Firma Breaking Security gibt es alles zu kaufen, was man für seine eigene Bot-Netz-Infrastruktur braucht: vom Cryptor "Octopus Protector", der den Unrat vor AV-Software versteckt über Keylogger bis hin zum Mass Mailer und der DynDNS-Infrastruktur für die Command&Control-Kommunikation.
(Bild: Talos)
Herz des Breaking-Security-Angebots ist das Remote Administration Toolkit Remcos, das einem externen Angreifer die volle Kontrolle über ein kompromittiertes System gibt. Von dem gibt es sogar eine kostenlose Demo-Version. Breaking Security behauptet zwar, diese Tools nur für ethische Zwecke zur Verfügung zu stellen und hängen sich das Mäntelchen der "CyberSecurity Research" um.
Doch sehr weit her ist es mit der Ethik anscheinend nicht. Ciscos Sicherheits-Experten von Talos haben bereits mehrere gezielte Angriffswellen mit Remco entdeckt. In ihrem Blog-Beitrag Picking Apart Remcos Botnet-In-A-Box dokumentieren sie auch, dass hinter Breaking Security eine in Deutschland registrierte Firma steckt, zu der anscheinend ein gewisser Viotto mit italienischen Wurzeln sehr enge Verbindungen hat. Als Dreingabe präsentiert Talos ein Tool, mit dem man Informationen aus Remco-Samples extrahieren kann.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(ju)
