Die Nachrichten der vergangenen Woche: NoIP und die Rückkehr von Miniduke

: Microsoft unternimmt etwas gegen die Schadprogramme verteilende Webhosting-Firma NoIP, verursacht dabei aber Kollateralschäden. Zudem kehrte in der vergangenen Woche die APT-Kampagne Miniduke zurück.

NoIP

Microsoft war in der vergangenen Woche in den Schlagzeilen, als das Unternehmen rechtliche Schritte gegen NoIP startete, eine Hosting-Firma, die angeblich damit Geschäfte macht, Cyberkriminellen zu erlauben, den Dienst zur Verbreitung von Schadsoftware zu nutzen. Und auch die Advanced-Persistent-Threat-Kampagne Miniduke tauchte in der letzten Woche wieder auf.

NoIP

NoIP ist Anbieter eines so gennanten Dynamic Domain Name Service (DNS). Die Firma bietet einen Service, bei dem die Nutzer – wie bei anderen DNS-Anbietern auch – Domain-Namen für ihre Webseiten kaufen können. Der Unterschied ist aber, einfach gesagt, dass das Dynamic-DNS-System den Administratoren erlaubt, ihre Domain-Namen und IP-Adressen ganz einfach zu aktualisieren. Das kann für Cyberkriminelle sehr pratkisch sein, die verhindern wollen, dass die IP-Adressen von Webseiten mit Schadprogrammen oder Seiten, die als Server ein Botnetz kontrollieren, von Antivirus-Programmen entdeckt und blockiert werden. Alledings nutzen auch viele legitime Firmen Dynamic DNS und NoIP.

Microsoft behauptet, sich „NoIP zur Brust zu nehmen, den Besitzer einer Infrastruktur, die regelmäßig von Cyberkriminellen genutzt wird, um unschuldige Opfer mit den Schädlingen Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren.“

Microsoft behauptet, sich „NoIP zur Brust zu nehmen, den Besitzer einer Infrastruktur, die regelmäßig von Cyberkriminellen genutzt wird, um unschuldige Opfer mit den Schädlingen Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren.“ NoIP bestreitet die Unterstützung von Schadprogramm-Autoren.

Eine Art, auf die Microsoft Schadprogramm-Kampagnen stört, sind einstweilige Verfügungen, durch die das Unternehmen Domains beschlagnahmen oder per Sinkholing den Zugriff auf einzelne Domains, die für schädliche Operationen genutzt werden, auf eigene, von Microsoft kontrollierte Domains umleiten kann. Das Sinkholing, das wir in einem früheren Beitrag bereits erklärt haben, ist eine allgemein akzeptierte Methode, die Arbeit von Botnetzen sowie die Verteilung von Schadprogrammen zu stören. Sie kann auf verschiedene Arten eingesetzt werden.

Wie auf der Seite Threatpost erklärt wird, arbeiten Sicherheitsforscher oft mit Hosting-Anbietern zusammen, um Zugriffe auf schädliche Domains umzuleiten: auf andere Seiten, die von den Forschern oder von Justizbehörden kontrolliert werden. Damit kappen sie die Lebensader der illegalen Aktion. Problematisch ist im vorliegenden Fall allerdings, dass NoIP behauptet, vorab nicht von Microsoft informiert worden zu sein.

Die Entscheidung von Microsoft hat in der Security-Branche für einiges Aufsehen gesorgt. Ein Punkt ist dabei die Frage, was Microsoft – einer privaten Firma mit eigenen Zielen und Werten – die Autorität verleiht, fast wie eine Strafverfolgungsbehörde gegen eine andere Firma oder eine Gruppe von Personen vorzugehen? Für manche sieht es so aus, als würde Microsoft, basierend auf eigenen Interessen, im Internet Polizei spielen. Leider waren diese Vorwürfe im aktuellen Fall lauter, denn Microsoft hat bei der Aktion versehentlich auch einige legitime Seiten aus dem Web genommen.

Einen Kommentar von Costin Raiu, Director des Global Research and Analysis Teams von Kaspersky Lab, finden Sie hier.

Miniduke ist zurück

Miniduke, eine Advanced Persistent Threat (APT), ist zurück. Forscher von Kaspersky Lab entdeckten die Spionagekampagne erstmals im Februar 2013. Damals war das vorrangige Ziel des Schädlings, europäische Regierungen auszuspionieren. Miniduke war zu dieser Zeit allerdings einzigartig unter den APTs – unter anderem, da der Schädling zum Teil über Twitter kommunizierte und ausführbare Dateien versteckt in .gif-Dateien verschickte, durch die das Schadprogramm auf infizierten Computern akutalisiert wurde.

Die nun aufgetauchte zweite Welle, die am Donnerstag in einem Securelist-Artikel beschrieben wurde, zeigt, dass die Kampagne nach einem Jahr Pause ausgeweitet wurde und komplexer agiert. Neben Regierungen, Militär und Energiekonzernen stiehlt Miniduke nun auch Daten von Online-Apotheken, vor allem solchen, die Hormone und Steroide verkaufen. Neu ist zudem die Verarbeitung der gestohlenen Daten: Diese werden in kleine Teile zerlegt und verstreut, so dass es für Sicherheits-Experten schwerer wird, die Funktionsweise des Schädlings und der Spionagekampagne zu verstehen.

Die neue Miniduke-Version, die den Namen Cosmicduke erhalten hat, enthält zudem neue Tools, durch die der Diebstahl von Informationen effizienter wird. Genauere Informationen dazu finden Sie in unserem Artikel auf Threatpost.

Tipps