Mit Unterstützung der Shadowserver Foundation, einer gemeinnützigen Organisation, die sich auf die Datenerfassung zu Computerbedrohungen spezialisiert hat, haben Sicherheitsforscher von WatchTowr Labs herausgefunden plus die 4.000 Hintertüren (oder Hintertüren auf Französisch) im Internet. Diese versteckten Schwachstellen wurden von Cyberkriminellen auf Webservern platziert, bevor sie aufgegeben wurden. Sie wurden nicht mehr aktiv genutzt, waren aber weiterhin einsatzbereit.
Zur Erinnerung: Bei einer Hintertür handelt es sich um Schadsoftware, die auf einer Website oder einem Server installiert wird, um sie anzubieten geheimen Zugang an Cyberkriminelle. Damit können Sie Befehle aus der Ferne ausführen, Daten stehlen oder andere Malware installieren. In diesem Fall nutzten die Hacker Internetdomänen, um Anweisungen an die Hintertüren zu übermitteln. Diese Domains waren abgelaufen.
Lesen Sie auch: Chinesische Hacker sollen die USA mithilfe von Hintertüren zum legalen Abhören ausspioniert haben
Hintertüren demontiert
Nachdem die Forscher die Mängel entdeckt hatten, entschieden sie sich dazu Demontage der gesamten Infrastruktur damit andere Hacker die Hintertüren nicht nutzen. Um dies zu erreichen, kauften sie alle von den Piraten hinterlassenen Domains zurück. De facto waren sie in der Lage, die Hintertürkommunikation abzufangen und die Kontrolle über sie zu übernehmen. Konkret konnten die Forscher die gesamte Kommunikation auf sichere Server umleiten.
„Wir haben die Kontrolle über Hintertüren übernommen (basierend auf inzwischen verlassener Infrastruktur oder abgelaufenen Domänen), die ihrerseits in andere Hintertüren eingebettet waren.“erklärt der Bericht der Forscher von WatchTowr Labs.
Von dort aus konnten die Experten von WatchTowr Labs feststellen Teil der Opferliste des Cyberangriffs. Ihren Angaben zufolge wurden die Hintertüren insbesondere auf Webservern von Regierungsbehörden oder Universitäten auf der ganzen Welt eingesetzt, insbesondere in Thailand, Südkorea und China. Auch chinesische Gerichte und Behörden wurden gehackt.
Lesen Sie auch: Ein „Albtraum“-Datenleck ist im Gange – der Standort von Millionen Smartphones wurde kompromittiert
Von Regierungen finanzierte Cyberkriminelle
Alles deutet darauf hin, dass die Hintertüren von staatlich finanzierten Cyberkriminellen implementiert wurden. Eine der Hintertüren ist auch mit Lazarus in Verbindung gebrachteine der von Nordkorea beauftragten kriminellen Gruppen. Hacker haben sich in den letzten fünf Jahren auf den Diebstahl von Kryptowährungen spezialisiert.
Sie sind insbesondere für die Inszenierung des Ronin-Network-Hacks im Jahr 2022 bekannt, der zum Verschwinden digitaler Vermögenswerte im Wert von 624 Millionen US-Dollar führte. Laut WatchTowr Labs wurde die Hintertür wahrscheinlich von anderen Cyberkriminellen wiederverwendet, seit Lazarus sie eingefügt hat:
„Angesichts des Zielprofils ist es unwahrscheinlich, dass wir Lazarus in Aktion erwischt haben. Allerdings werden wir wahrscheinlich andere Angreifer sehen, die von Lazarus entwickelte Tools für ihre eigenen Zwecke wiederverwenden.“
Alles deutet darauf hin, dass die Hintertüren von einem platziert wurden große Auswahl an Piratenmit unterschiedlichem Fähigkeitsniveau. Experten zufolge können wir damit rechnen, dass in naher Zukunft weitere Hintertüren dieser Art entdeckt werden.
???? Um keine Neuigkeiten von 01net zu verpassen, folgen Sie uns auf Google News und WhatsApp.
Quelle :
WatchTowr Labs
