RSA-Hack
05.08.2011, 10:23 Uhr
Die Spur führt nach China
Bei der Attacke auf die EMC-Tochter RSA Security, bei der Anfang Jahr sensible Infos betreffend des SecurID-Tokens gestohlen wurden, wurden chinesische Hacking-Tools und Server benutzt.
Das Ziel des Angriffs: Die SecurID-Token von RSA
Zu dieser Erkenntnis kommt Joe Stewart, oberster Viren- und Cybercrime-Jäger bei Dell SecureWorks. Er hat die Informationen, die das Cert (Computer Emergency Response Team) der Carnegie-Mellon-Universität zum RSA-Hack veröffentlicht hat, analysiert und mit seinen Forschungsergebnissen zur Typisierung von 60 verschiedenen Familien von Malware, die für Cyberspionage-Attacken verwendet werden, verglichen.
So sollen zwei Malware-Komponenten, die im RSA-Hack verwendet wurden, auf dem bekannten Hacker-Tool HTran basieren. Dieses kann die Position des als Kommandozentrale für den Angriff verwendeten Servers verschleiern. HTran wurde von einem berüchtigten chinesischen Hacker geschrieben, der unter dem Pseudonym «lion» im Netz in Erscheinung tritt. Dieser Cyberkriminelle ist angeblich auch der Gründer der chinesischen Hackergruppe «Honker Union of China», die mit ihrem Hacktivismus sehr patriotische Ziele verfolgt.
Doch damit nicht genug: Für den Angriff wurden nicht nur chinesische Tools verwendet. Laut Stewart wurden die geklauten Daten auf eine Handvoll Netzwerke in China umgeleitet. Dabei handelt es sich um grössere Internet Provider in Peking und Schanghai, darunter auch die staatliche Fernmeldegesllschaft China Unicom.
Im von Dell SecureWorks herausgegebenen Report heisst es über die Spur der Hacker: «Es ist nicht überraschend, dass Hacker, die chinesische Tools verwenden, auch unter IP-Nummern operieren, die in die Volksrepublik China führen. Die IP-Adressen gehören grossen chinesischen ISP. Dadurch wird es schwierig, die eigentlichen Hacker zu identifizieren, vor allem wenn eine Unterstützung durch die chinesische Regierung fehlt.»
Unterdessen hat RSA beziffert, dass sie der Angriff im März des Jahres 66 Millionen Dollar gekostet hat. Darin eingerechnet ist aber noch nicht der Image-Schaden, den die EMC-Tochter durch die Vorkommnisse erlitten haben muss.
So sollen zwei Malware-Komponenten, die im RSA-Hack verwendet wurden, auf dem bekannten Hacker-Tool HTran basieren. Dieses kann die Position des als Kommandozentrale für den Angriff verwendeten Servers verschleiern. HTran wurde von einem berüchtigten chinesischen Hacker geschrieben, der unter dem Pseudonym «lion» im Netz in Erscheinung tritt. Dieser Cyberkriminelle ist angeblich auch der Gründer der chinesischen Hackergruppe «Honker Union of China», die mit ihrem Hacktivismus sehr patriotische Ziele verfolgt.
Doch damit nicht genug: Für den Angriff wurden nicht nur chinesische Tools verwendet. Laut Stewart wurden die geklauten Daten auf eine Handvoll Netzwerke in China umgeleitet. Dabei handelt es sich um grössere Internet Provider in Peking und Schanghai, darunter auch die staatliche Fernmeldegesllschaft China Unicom.
Im von Dell SecureWorks herausgegebenen Report heisst es über die Spur der Hacker: «Es ist nicht überraschend, dass Hacker, die chinesische Tools verwenden, auch unter IP-Nummern operieren, die in die Volksrepublik China führen. Die IP-Adressen gehören grossen chinesischen ISP. Dadurch wird es schwierig, die eigentlichen Hacker zu identifizieren, vor allem wenn eine Unterstützung durch die chinesische Regierung fehlt.»
Unterdessen hat RSA beziffert, dass sie der Angriff im März des Jahres 66 Millionen Dollar gekostet hat. Darin eingerechnet ist aber noch nicht der Image-Schaden, den die EMC-Tochter durch die Vorkommnisse erlitten haben muss.
