“Katyusha Scanner” spürt mittels SQL-Injection angreifbare Webserver auf

Cyber-Attacke (Bild: Shutterstock)

Der Angriffsweg ist zwar schon alt, nichtsdestotrotz recht weit verbreitet und bei Kriminellen nach wie vor beliebt, um Datenbanken von Webservern zu attackieren. Der seit kurzem zu geringen Kosten erhältliche “Katyusha Scanner” hilft ihnen, Seiten zu finden, bei denen sich die Mühe lohnt und die gleich auf mehreren Wegen anzugreifen.

Das auf Sicherheitsüberwachung mittels Maschinenlernen spezialisierte Unternehmen Recorded Future hat vor einem im Dark Web angebotenen Tool gewarnt, dass Kriminellen die Arbeit erheblich erleichtert und die Gefahr für Betreiber von Webservern deutlich erhöht. Der seit April von einem russischen Hacker in einem Untergrundforum angebotene “Katyusha Scanner” kombiniert den Arachni Scanner, ein Open-Source-Werkzeuge für Penetrationstests, mit dem für seine Verschlüsselungsfunktionen bekannten Messenger Telegram.

Laut Recorded Future bietet das so entstandene Produkt “außergewöhnlichen Support und regelmäßige Aktualisierungen”, wodurch es bei Kriminellen rasch an Beliebtheit gewonnen habe, die es nicht nur für seine intuitive Benutzeroberfläche, sondern auch seine hervorragende Leistungsfähigkeit lobten. Für Betreiber von Webseiten bedeutet das eine erhöhte Gefahr. Denn Katyusha Scanner erlaubt es potenziellen Angreifern eine Liste von unzureichend gesicherten Servern hochzuladen und mehrere Angriffe parallel zu starten. Die lassen sich dann komfortabel über den Messenger Telegram kontrollieren.

Katyusha Scanner erlaubt auch den automatisierten Dump ganzer Datenbanken von angreifbaren Webservern (Screenshot: Recorded Future)
Katyusha Scanner erlaubt auch den automatisierten Dump ganzer Datenbanken von angreifbaren Webservern (Screenshot: Recorded Future)

Darauf geht auch der Name zurück: Katyusha, eigentlich die russischen Koseform für den Frauennamen Katharina, bezeichnet auch einen von der Sowjetunion im Zweiten Weltkrieg benutzten Raketenwerfer, der eine ganze Salve von Geschossen gleichzeitig abfeuern konnte. Katyusha Scanner erlaube es Kriminellen im großen Stil mehrere Angriffe gleichzeitig zu fahren, die das Eindringen in eine große Anzahl gezielt ausgewählter Webseiten zum Ziel haben. Dazu seien lediglich wenige Klicks auf einem Smartphone notwendig.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Professionalität der Hintermänner zeigt sich laut Recorded Future auch daran, dass inzwischen verschiedene Nutzungsmodelle und Zusatzfunktionen anbieten, die den kriminellen Nutzern ihre Aktivitäten erleichtern. So lassen sich etwa bei einem erfolgreichen Angriff nicht nur Einfallstore einrichten, Angaben zu Nutzerkonten wie E-Mail-Adressen und Passwörter abgreifen, sondern mit der Funktion “Automatic dumping of databases” die gefundenen Datenbanken auch automatisch zu extrahieren.

Angriffe seien so auf die Mehrzahl der aktuell verwendeten Datenbanken möglich, von Oracle und Microsoft SQL über PostgreSQL, MySQL, DB2 und SQLite bis zu Informix, Sybase und Microsoft Access. Mit einer weiteren Funktion, dem Abgleich mit der Position des Servers im Alexa-Ranking, lasse sich zudem der ungefähre Wert der gestohlenen Daten ermitteln.

Katyusha Scanner wird für 500 Dollar angeboten. Seit Mai gibt es für sparsame Kriminelle auch eine Light-Version für 250 Dollar und seit Ende Juni wird für 200 Dollar auch ein Monatsabonnement angeboten. Betreiber von Webservern sollten idealerweise zusätzliche Sicherheitsmaßnahme ergreifen, mindestens aber die verwendete Software stets auf dem aktuellsten Stand halten.

[mit Material von Christophe Lagane, silicon.fr]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.