Doublepulsar: Hinweise auf Missbrauch der durchgesickerten NSA-Backdoor

Der “Doublepulsar” genannte Schadcode, der im Zuge der von der Hackergruppe Shadow Brokers veröffentlichten NSA-Hacking-Tools an die Öffentlichkeit gelangte, wird möglicherweise von Dritten für Angriffe genutzt. Darauf deuten Zahlen hin, die das Schweizer IT-Security-Unternehmen Binary Edge veröffentlicht hat. Ihm zufolge wurden alleine seit dem 21. April fast 80.000 IP-Adressen neu infiziert und beläuft sich die Gesamtanzahl der betroffenen Rechner nun auf über 180.000. Davon wurde die überwiegende Anzahl in den USA lokalisiert, 493 konnten jedoch auch IP-Adressen in Deutschland zugeordnet werden.

Die hohe Anzahl an infizierten Rechnern und deren rasche Zunahme deutet Experten zufolge darauf hin, dass die Malware inzwischen von Dritten heruntergeladen, möglicherweise leicht modifiziert und nun für Angriffe auf ungepatchte Windows-Rechner verwendet wird. Microsoft zweifelt die Berichte an, will sie aber untersuchen und räumt immerhin ein, dass sich ein “Konsens herausbildet, wonach 30.000 bis 107.000 Windows-Maschinen mit Doublepulsar infiziert sein könnten.” Diese Rechner seien dann auch für anderweitige Angriffe anfällig.

Laut ArsTechnica würde die NSA eine derartige Schadsoftware wesentlich gezielter einsetzen, um die Gefahr der Entdeckung gering zu halten. Auch die von anderen Sicherheitsforschern, darunter Below0day und Errata Security gennannten Werte von 30.000 respektive 41.000 infizierten Rechnern seien für “echte” NSA-Aktivitäten untypisch hoch. Ein weiterer Erklärungsansatz für die hohen Werte wäre ein Fehler in dem Skript, dass die infizierten Rechner aufspüren soll, aber möglicherweise False Positives produziert.

Um sich vor Entdeckung zu schützen, schreibt Doublepulsar keine Dateien auf den infizierten Computer. Dadurch übersteht die Malware allerdings auch einen Neustart des Rechners nicht. Das könnte ebenfalls eine Erklärung für die stark voneinander abweichenden Zahlen der einzelnen Experten sein: Sie hätten dann womöglich richtig, aber eben zu unterschiedlichen Zeitpunkten und womöglich ganz unterschiedliche, infizierte Rechner ermittelt.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Dan Tentler, Gründer der IT-Security-Beratungsfirma Phobos Group, mutmaßt gegenüber ArsTechnica, dass es die Absicht von Shadow Brokers gewesen sein könnte, dass die Veröffentlichung der NSA-Tools zunächst zu Masseninfektionen und dadurch dann zur Veröffentlichung von Patches beziehungsweise Signataren führt, wodurch der NSA-Code dann unbrauchbar wird.

Seinen Untersuchungen zufolge wartet Doublepulsar nach der Infektion darauf, dass bestimmte Daten über Port 445 gesendet werden. Dieser Port wird seit Windows XP vom Microsoft Common Internet File System (CIFS) genutzt und sollte Empfehlungen von Sicherheitsexperten zufolge eigentlich in der Firewall zumindest für eingehenden Traffic blockiert oder zumindest überwacht werden. In der Praxis ist das aber oft nicht der Fall, da der im Zusammenhang mit Datei- und Druckerfreigaben geöffnet wird.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

22 Minuten ago

Worauf es bei der Banken-IT besonders ankommt

Finanzinstitute unterliegen strengen Auflagen, wenn es um die Digitalisierung geht. Doch der Finanzbereich kommt an…

2 Stunden ago

Patentstreit zwischen Apple und Ericsson eskaliert

Apple reagiert auf Ericssons Klagen mit einer eigenen ITC-Beschwerde. Das Unternehmen aus Cupertino bekundet aber…

3 Tagen ago

Google fordert sichere Rahmenbedingungen für Datenaustausch zwischen USA und EU

Googles Chief Legal Officer kritisiert in einem Blogeintrag die Datenschutzgrundverordnung. Auslöser ist eine Entscheidung aus…

3 Tagen ago

Samsung stellt am 8. Februar Galaxy S 22 vor

Ein Teaser-Video bestätigt Gerüchte, wonach Samsung die Note-Serie mit der Galaxy-S-Serie zusammenlegt. Samsung verspricht zudem…

3 Tagen ago

ISG-Studie: Intelligente Prozessautomatisierung in Deutschland

Die Nachfrage nach Automatisierungslösungen und -dienstleistungen, die unternehmensübergreifende Use Cases ermöglichen, steigt.

3 Tagen ago