ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Startseite
  Neuigkeiten
  Historie
  Pressestimmen
  Redaktion
  Kontakt
  Sitemap
  Haftungsausschluss
  Impressum


SCHLAGZEILEN

07.05.2012
Backdoor-Angriffe von offiziellen Stellen in Syrien (Heinz Schmitz)

Ein F-Secure vorliegendes Image deutet auf den Einsatz von Backdoors gegen Aktivisten hin.

Nicht nur der arabische Frühling findet digital statt, auch der Versuch, ihn zu unterdrücken. Dies berichtet F-Secure auf seinem Blog (http://www.f-secure.com/weblog/archives/00002356.html). Die Verwendung digitaler Taktiken durch die Regierung zur Überwachung von und zum Angriff  auf Regimegegner und Aktivisten belegt das aktuelle Beispiel einer externen Festplatte, die F-Secure zugespielt wurde.

Auf der Festplatte befand sich ein Image eines syrischen Aktivisten, der offensichtlich von den lokalen Behörden digital angegriffen wurde. Das System des Aktivisten war als Resultat eines Skype Chats infiziert. Die Anfrage zum Chat war scheinbar von einem anderen Regimegegner ausgegangen. Diese Identität war aber offensichtlich gefälscht. Zum Zeitpunkt der Chatanfrage befand er sich schon längst in Haft. Die Infektion des Opfersystems begann mit dem Akzeptieren einer Datei MACAddressChanger.exe im Verlauf des Chats. Dieses Tool sollte vermeintlich der Änderung der MAC Adresse des Systems dienen, um so Überwachungstools zu umgehen. Tatsächlich installierte das Tool mit der Anwendung silvia.exe die Backdoor „Xtreme Rat“. Dabei handelt es sich um ein voll ausgereiftes Remote Access Tool, welches auch für 100 Euro über Paypal  auf der  Seite https://sites.google.com/site/nxtremerat erworben werden kann. Mit diesem Werkzeug kann ein Zielrechner von jedem Ort aus remote kontrolliert worden. Dank der vollständigen Unterstützung von Unicode ist dies denkbar einfach möglich.

„Wir haben gute Gründe zur Annahme, dass diese Infektion kein reines Unglück war“, so die Einschätzung von Mikko Hyppönen, Chief Technology Officer von F-Secure. „Auf jeden Fall kommuniziert die Backdoor mit der IP-Adresse 216.6.0.28. Dieser IP Block gehört zur Arabischen Republik Syrien (STE - Syrian Telcommunications Establishment).“

Dies wäre nicht das erste Beispiel für solche Vorgehensweisen. Ähnliche Beispiele finden sich unter:
http://cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town
http://blogs.norman.com/2012/security-research/the-syrian-spyware
http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(mit dem Interview eines Autors einer anderen RAT, welches bei einer ähnlichen Attacke verwendet wurde) .


zurück zum Archiv

Druckversion Impressum Haftungsausschluss