(PM) Düsseldorf, 13.11.2012 - Eine In-Depth-Analyse von Millionen von Schadcodes, die seit Oktober 2011 bekannt sind, hat gezeigt, dass die aktuellen Bemühungen der israelischen Regierung, das Einschleusen von Trojanern in die Computer von Polizei, Ministerien und Botschaften zu verhindern, zu spät gekommen sein dürften. Wie der norwegische Spezialist für IT-Security Norman erläutert, bestehen die Angriffe, mit Schwerpunkt zunächst auf palästinensischen, dann auf israelischen Zielen, bereits länger als ein Jahr. Vor einigen Wochen hatten israelische Strafverfolgungsbehörden E-Mails fälschlicherweise als vom israelischen Generalstabschef Benny Gantz kommend identifiziert. Dies war die erste Wahrnehmung eines möglichen Cyber-Angriffs. Gleichartige Nachrichten waren ebenfalls in israelischen Botschaften aufgetaucht. Arglose Empfänger, die die E-Mails geöffnet haben, stießen auf eine Sammlung von Überwachungstools, die als Dokument getarnt waren. Das Öffnen des Dokumentes ermöglicht den Kriminellen den Diebstahl von Informationen und Steuerung des befallenen Computers.

Beim Versuch herauszufinden, ob es sich um ein isoliertes Ereignis oder um einen schwerwiegenden Vorfall handelt, ließen Normans IT-Spezialisten auch Samples aus ihrem Bestand an bekanntem Schadcode durch den Norman Malware Analyzer untersuchen. Dabei stellte sich heraus, dass alle Attacken auf einen Angreifer zurückgehen, da sie über die gleiche Command & Control-Infrastruktur kommunizieren und in vielen Fällen das gleiche Zertifikat nutzen. Das bestätigt ihren Einsatz zur Überwachung und Spionage. Die Angreifer schickten den Netzwerkverkehr zunächst an C&C-Server im Gaza-Streifen und im Zug der Ermittlungen dann an Hoster in den USA und in Großbritannien. „Wir kennen die Angreifer noch nicht“, sagt Einar Oftedal, Vice President Norman AS. „Aufgrund der unterschiedlichen Machtblöcke in der Region gibt es dafür mehrere Möglichkeiten. Eines ist sicher: Mit Malware aus dem Baukasten, die man sich aus dem Internet besorgen kann, sind die Kosten für eine solche Operation so gering, dass praktisch jeder dahinter stehen kann.“ Die meiste der eingesetzten Malware ist erwiesenermaßen Xtreme RAT, ein kommerzielles Überwachungs- und Fernverwaltungs-Tool.

Snorre Fagerland, Principal Security Researcher Norman AS, stellt Details der Untersuchung im Blog vor: blogs.norman.com/2012/security-research/cyberattack-against-israeli-and-palestinian-targets-for-a-year.