Kaspersky Lab deckt Infrastruktur russischer Hacker-Gruppe auf

Die Sicherheitsexperten von Kaspersky Lab haben die Infrastruktur der russischen Advanced-Persistent-Threat-Gruppe Crouching Yeti (auch bekannt als Energetic Bear) identifiziert. Darunter befänden sich kompromittierte Server auf der ganzen Welt. Auch Europa ist betroffen.

Advanced Persistent Threat (ATP) - zu deutsch "fortgeschrittene, andauernde Bedrohung" - beschreibt ein Vorgehen, bei dem die Kriminellen komplexe, zielgerichtete und effektive Angriffe auf besonders kritische IT-Infrastrukturen von Behörden und Unternehmen infiltrieren. Dabei geht es vor allem darum, möglichst lange aktiv zu bleiben, um über einen längeren Zeitraum Informationen abgreifen zu können.

Die Gruppe hatte bevorzugt die sogenannte Wasserlochmethode angewandt. Dafür werden vom Opfer wiederholt aufgerufene Webseiten mit einem Link versehen, der auf eine schadhafte Seite umleitet. Ziel ist es dabei, Zugriff auf das Netzwerk des Betroffenen zu erlangen. Auf diese Weise wären der APT-Gruppe eine ganze Reihe von Servern in Russland, den USA, der Türkei und einigen europäischen Ländern zum Opfer gefallen.

In den vergangenen beiden Jahren wären diese Server für verschiedene Zwecke missbraucht worden, schreibt Kaspersky Lab. Neben der Wasserlochmethode wäre das Netzwerk aus befallenen Servern zum Beispiel auch als Vermittler für Angriffe auf andere Ressourcen missbraucht worden.

Um die Identifizierung der Kriminellen im Nachhinein zu erschweren, hätten die Hacker verschiedene Open-Source-Tools eingesetzt. Ausserdem deute die Vielfalt der infizierten Server und gescannten Ressoucen darauf hin, dass die Gruppe nicht ausschliesslich für eigene Zwecke, sondern im Interesse Dritter agiert habe.

Unter den gescannten Webseiten waren Online-Shops und Online-Dienste, öffentliche Organisationen, NGOs, Fertigungsunternehmen und andere.