Doublepulsar: Hinweise auf Missbrauch der durchgesickerten NSA-Backdoor

Der “Doublepulsar” genannte Schadcode, der im Zuge der von der Hackergruppe Shadow Brokers veröffentlichten NSA-Hacking-Tools an die Öffentlichkeit gelangte, wird möglicherweise von Dritten für Angriffe genutzt. Darauf deuten Zahlen hin, die das Schweizer IT-Security-Unternehmen Binary Edge veröffentlicht hat. Ihm zufolge wurden alleine seit dem 21. April fast 80.000 IP-Adressen neu infiziert und beläuft sich die Gesamtanzahl der betroffenen Rechner nun auf über 180.000. Davon wurde die überwiegende Anzahl in den USA lokalisiert, 493 konnten jedoch auch IP-Adressen in Deutschland zugeordnet werden.

Die hohe Anzahl an infizierten Rechnern und deren rasche Zunahme deutet Experten zufolge darauf hin, dass die Malware inzwischen von Dritten heruntergeladen, möglicherweise leicht modifiziert und nun für Angriffe auf ungepatchte Windows-Rechner verwendet wird. Microsoft zweifelt die Berichte an, will sie aber untersuchen und räumt immerhin ein, dass sich ein “Konsens herausbildet, wonach 30.000 bis 107.000 Windows-Maschinen mit Doublepulsar infiziert sein könnten.” Diese Rechner seien dann auch für anderweitige Angriffe anfällig.

Laut ArsTechnica würde die NSA eine derartige Schadsoftware wesentlich gezielter einsetzen, um die Gefahr der Entdeckung gering zu halten. Auch die von anderen Sicherheitsforschern, darunter Below0day und Errata Security gennannten Werte von 30.000 respektive 41.000 infizierten Rechnern seien für “echte” NSA-Aktivitäten untypisch hoch. Ein weiterer Erklärungsansatz für die hohen Werte wäre ein Fehler in dem Skript, dass die infizierten Rechner aufspüren soll, aber möglicherweise False Positives produziert.

Um sich vor Entdeckung zu schützen, schreibt Doublepulsar keine Dateien auf den infizierten Computer. Dadurch übersteht die Malware allerdings auch einen Neustart des Rechners nicht. Das könnte ebenfalls eine Erklärung für die stark voneinander abweichenden Zahlen der einzelnen Experten sein: Sie hätten dann womöglich richtig, aber eben zu unterschiedlichen Zeitpunkten und womöglich ganz unterschiedliche, infizierte Rechner ermittelt.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Dan Tentler, Gründer der IT-Security-Beratungsfirma Phobos Group, mutmaßt gegenüber ArsTechnica, dass es die Absicht von Shadow Brokers gewesen sein könnte, dass die Veröffentlichung der NSA-Tools zunächst zu Masseninfektionen und dadurch dann zur Veröffentlichung von Patches beziehungsweise Signataren führt, wodurch der NSA-Code dann unbrauchbar wird.

Seinen Untersuchungen zufolge wartet Doublepulsar nach der Infektion darauf, dass bestimmte Daten über Port 445 gesendet werden. Dieser Port wird seit Windows XP vom Microsoft Common Internet File System (CIFS) genutzt und sollte Empfehlungen von Sicherheitsexperten zufolge eigentlich in der Firewall zumindest für eingehenden Traffic blockiert oder zumindest überwacht werden. In der Praxis ist das aber oft nicht der Fall, da der im Zusammenhang mit Datei- und Druckerfreigaben geöffnet wird.

Redaktion

Recent Posts

Google warnt vor neuer kommerzieller Spyware

Heliconia nimmt Browser und Windows Defender ins Visier. Das Exploitation Framework setzt auf in den…

2 Stunden ago

Weihnachtszeit, Shoppingzeit: Betrüger haben Hochkonjunktur

Betrüger setzen bei Routine und Bekanntem an – für Ungeübte kaum zu erkennen. Sophos gibt…

20 Stunden ago

Silicon DE Podcast im Fokus: Cyber Protection

Im Gespräch mit Carolina Heyder erklärt Candid Wüest, VP of Cyber Protection Research Acronis, wie…

21 Stunden ago

Externes Schlüsselmanagement für Kundendaten in der AWS Cloud

T-Systems erstellt, verwaltet und speichert die Schlüssel in den Rechenzentren der Deutschen Telekom innerhalb der…

22 Stunden ago

Lieferketten in der Cloud verwalten

Aktuelles von der AWS re:Invent 2022: AWS Supply Chain Service verringert Lieferketten-Risiken.

23 Stunden ago

Epson stellt Verkauf von Laserdruckern ein

Laserdrucker sind laut Epson weniger nachhaltig als Inkjet-Drucker. Aus dem Sortiment verschwinden sie bis Ende…

23 Stunden ago