“Operation Aurora” greift Rüstungsfirmen an

Die Hacker der gegen Google gerichteteten “Operation Aurora” von 2009 sind laut Symantec wieder aktiv. Eine neue Kampagne nutze acht Zero-Day-Schwachstellen, um Rüstungsfirmen anzugreifen, heißt es in einem Blogeintrag. Symantec hat dafür den Namen “Elderwood Project” vergeben.

Die Sicherheitsfirma schreibt, sie habe nie so viele ungepatchte Lücken in einem einzigen Angriff kombiniert gesehen. Diese steckten in verbreiteten Programmen wie Adobe Flash Player und Microsoft Internet Explorer. Symantec: “Es sieht so aus, als hätte die Gruppe einen unbegrenzten Vorrat an Zero-Day-Schwachstellen. Sie werden eingesetzt, wie sie gerade gebraucht werden – oft direkt nacheinander, wenn eine Entdeckung der aktuell genutzten Lücke bevorzustehen scheint.”

In den letzten 30 Tagen kamen beispielsweise Trojaner zum Einsatz, die eine Hintertür öffneten, wie es in Symantecs ausführlichem Bericht (PDF) heißt. Die Infektion der Zielsysteme wurde durch drei Lücken möglich gemacht. Außerdem kompromittierten die Angreifer gezielt Websites, von denen sie wussten, dass ihre Opfer sie besuchen würden. Dort platzieren sie dann iFrames, die eine eigene Site mit Schadcode laden. Auch “Spear Phishing” – gezieltes Phishing mittels getürkter Mails, die die Zielperson interessieren dürften – kommt zum Einsatz.

2009 hatte Google behauptet, hinter Operation Aurora stecke China – das aber entrüstet dementierte. Symantec sagt über das Elderwood Project nur, die Hacker würden vermutlich von einem Staat gesponsert. Ihre Ziele sind derzeit vor allem Zulieferer und Dienstleister der Rüstungsindustrie – etwa Transportunternehmen, Luft- und Raumfahrt sowie Stromversorger.

Mit Aurora hat Elderwood gemein, dass beide eine Malware namens Hydraq einsetzen. Symantec zufolge stehen fast 75 Prozent der entdeckten infizierten Systeme in den USA, 9 Prozent in Kanada und 6 Prozent in China. Auch in Großbritannien habe man Infektionen bemerkt, die Quote liege jedoch unter 3 Prozent.

[mit Material von Florian Kalenda, ]