Hacker benutzten Google für Attacken

Wie der Security-Spezialist FireEye berichtet, wurden im März unter der Bezeichnung «Operation Poisoned Hurricane» Daten von Unternehmen entwendet. Die Firma nannte keine Namen der Opfer. Speziell ist in jedem Fall die Methode der Hacker. Es ist ihnen nämlich gelungen, den Datenverkehr zwischen der Malware und dem Kommando- und Kontroll-Server auf eine neue Art und Weise zu verschleiern. Konkret nutzten sie die Dienste Google Developers und den öffentlichen DNS-Service (Domaine Name System) der kalifornischen  Hurricane Electric. In beiden Fällen wurde die Dienste als eine Art Switch missbraucht, um den Datenverkehr umzuleiten, der anscheinend an legitime Webadressen wie adobe.com, update.adobe.com und outlook.com gerichtet war. «Das ist eine neuartige Methode, um den Verkehr der Hacker zu verstecken», kommentiert Ned Moran von FireEye die Erkenntnisse. Ihm zufolge war die Technik geschickt genug, um Networkadministratoren davon zu überzeugen, dass der Verkehr legitim sei. Wie Moran weiter ausführt wurden unter anderem getürkte HTTP-Header der legitimen Adressen verwendet, um die Malware-Kommunikation zu verschleiern. Im Fall von Google Developers, dem Nachfolegdienst von Google Code, missbrauchten die Hacker den Service dazu, Code zu hosten, der den Malware-Traffic analysierte und an die im Sinne der Hacker «richtige» IP-Adresse und Destination umzuleiten. Unterdessen seien sowohl Google und Hurricane über die neuartigen Möglichkeiten benachrichtigt worden. Beide Dienstleister hätten inzwischen reagiert und die Lücke geschlossen. Weitere Details zur Operation Poisoned Hurricane finden sich auf der Blogseite von FireEye.