Die Sicherheitsforscher von Palo Alto Networks haben die Aktivitäten der 'Hacker-Gruppe' OilRig, auch als APT34 oder Helix Kitten bezeichnet, auf Grund eines 'Leaks' genauer analysiert. Die Gruppe hat Rechner von 97 Organisationen und 18 Industriefirmen in 27 Ländern infiltriert.
Anzeige
Basis der Aktivitäten der Gruppe APT34 ist ein Netzwerk, das mit 13.000 gestohlenen Anmeldeinformationen (Credentials), über 100 ausgerollten Web-Shells und einem Dutzend Hintertüren, die auf kompromittierten Hosts laufen, arbeitet. Ziel der Gruppe sind wohl Spionageaktivitäten – d.h. es sind staatlich unterstützte Akteure. Catalin Cimpanu wies in nachfolgendem Tweet auf eine Analyse von Palo Alto Networks hin, die ein Datenleak der Gruppe für diesen Zweck nutzen konnten.
Palo Alto Networks has analyzed the APT34 leaks in more depth:
They identified "13,000 stolen credentials, over 100 deployed webshells, and roughly a dozen backdoor sessions into compromised hosts across 27 countries, 97 organizations, and 18 industries"https://t.co/fR0KyehNJT pic.twitter.com/PAUspqQNu6
— Catalin Cimpanu (@campuscodi) 1. Mai 2019
In einem 'Behind the scenes'-Artikel bereiten die Sicherheitsforscher von Palo Alto Networks haben die Aktivitäten der 'Hacker-Gruppe' OilRig, auch als APT34 oder Helix Kitten bezeichnet, in einer Analyse genauer auf. Gemäß der im Tweet gezeigten Karte sind auch Rechner in Europa (mutmaßlich in Frankreich) infiltriert.
Analyse durch ein Leak möglich
Möglich wurde dies, weil Mitte März 2019 eine Person mit dem Twitter-Namen @Mr_L4nnist3r in mehreren Hacking-Foren und auf Twitter behauptete, Zugriff auf Datenspeicher der Gruppe zu haben. Diese Speicherabzüge (Dumps) enthielten auch interne Tools und Daten der OilRig-Gruppe. Der ursprüngliche Post beinhaltete mehrere Screenshots von Systemen, die möglicherweise von OilRig-Betreibern für Angriffe verwendet werden, ein Skript, das für DNS-Hijacking verwendet zu werden schien, und ein passwortgeschütztes Archiv mit dem Dateinamen Glimpse.rar, das angeblich das Befehls- und Steuerbedienfeld für eine OilRig-Hintertür enthält.
Kurz danach darauf erschien ein Twitter-Account mit dem Benutzer-Handle @dookhtegan, der behauptete, auch Zugriff auf Datenbestände mit internen Tools und Daten, die von der OilRig-Gruppe verwendet werden, zu haben. Anhand dieser geleakten Informationen ist es den Sicherheitsforschern von Palo Alto Networks gelungen, das Ganze zu analysieren. Wer sich für das Thema interessiert, für Leute, die im Sicherheitsbereich von Unternehmen und Organisationen aktiv sind, wohl Pflicht, wird in diesem Artikel (Englisch) fündig. Dort wird detailliert seziert, welche Backdoors und Techniken die Hacker-Gruppe einsetzt.
2015
