NWRI- Forscher haben eine Seite entdeckt, welche als Jobseite für US Veteranen fungierte, aber in Wahrheit Verbindungen zum iranischen Regime hat. Das berichtete am Freitag Fox News. Die Forscher der Sicherheitsfirma Cisco Talos hatten diese Woche berichtet, dass die Webseite „Hire Military Heroes“ von Malware durchsetzt war, welche Hackern erlaubt, die Kontrolle über den Computer ihres Opfer zu erlangen.
Laut ZDNet können die Hacker nicht nur Veteranen attackieren, sondern auch aktive Mitarbeiter. Auch sie gehen davon aus, dass das iranische Regime hinter dem Angriff steht.
Ein Experte für Cybersicherheit im US Heimatschutzministerium sprach über die Hintergründe und sagte ZDNet, dass die Angriffe vor allem auf militärische Netzwerke abzielen.
„Sie (die Hacker) hoffen, dass eines ihrer Ziele ein System des Verteidigungsministeriums nutzt, die Malware herunter lädt und diese dann gestartet wird“, sagte er. „Die Chancen dafür sind gering, aber es ist einen Versuch wert…..eine sehr schlaue Strategie, wenn man das so sagen kann.“, ergänzte er.
Der Täter wurde bereits von Symantec als Tortoiseshell identifiziert. Es ist eine Gruppe, die hinter mehreren Angriffen auf IT Provider in Saudi – Arabien steht, sagt Cisco Talos.
Die gefälschte Seite hat drei Download – Links und eine Desktop – App, welche zum kostenlosen Download angeboten wird. Doch die App ist in Wahrheit ein Fake Installer. Wenn dieser startet, dann füllt sich die Anzeige mit dem Download – Fortschritt und am Ende erscheint eine Fehlermeldung.
„Der Installer prüft, ob Google erreichbar ist. Wenn nicht, dann stoppt die Installation. Ist Google erreichbar, dann lädt der Installer zwei binäre Files herunter“, heißt es weiter.
Eines dieser binären Files soll das System „erkunden“ und das zweite File ist das Remote Administrative Tool.
„Der Angreifer erhält so mehrere Informationen, wie zum Beispiel das Datum, die Zeit und welche Laufwerke es gibt.“ Die Forscher von Cisco Talos schreiben weiter in ihrem Bericht:“ Der Angreifer kann Informationen über das System, den Patch Level, die Nummer der Prozessoren, der Netzwerkkonfiguration, der Firmware Versionen, den Domäin Controller, den Namen des Admin, die Liste der Accounts etc. sehen. Dies ist eine große Zahl von Daten und sie rüstet den Angreifen für weitere Angriffen wesentlich besser aus.“
Die Menge und Qualität der Informationen macht den Angriff so gefährlich, sagte Warren Mercer, ein Forscher bei Cisco Talos, gegenüber Fox News.
„Wenn man auf die Agenda der Angreifer schaut, dann ist es unwahrscheinlich, dass es sich um einen zufälligen Angriff handelt….es will jemand etwas viel wichtigeres heraus finden, als wir es vielleicht ahnen“, sagte Mercer.
Mercer ergänzte, dass es schwer ist, heraus zu finden, wie effektiv der Angriff war, denn die Seite wurde entdeckt, bevor er sich vollständig entfalten konnte. „Wir haben seit unser Veröffentlichung nicht weiter prüfen können, weil der Akteur der Webseite diese nun vom Netz genommen hat.“