Symantec veröffentlicht Analyse

Hacker zum Mieten: „Hidden Lynx“

Das Sicherheitsunternehmen Symantec beobachtet seit längerem eine Gruppe von Hackern, die mit sehr viel Wissen und Geduld ihre Ziele verfolgt und bisher im Verborgenen arbeitete. Die Forscher gaben der Gruppe den Namen „Hidden Lynx“.

Das äußerst professionell agierende Hackerteam soll aus rund 50 bis 100 Akteuren bestehen und seit 2009 international tätig sein. In dieser Zeit werden der Gruppe in dem Bericht von Symantec hunderte profilierter Angriffe zugeschrieben. Zu den Zielen zählen bevorzugt Rüstungsunternehmen, Banken oder Regierungsinstitutionen. Das Vorgehen lässt vermuten, dass es sich bei den Angriffen um gut dotierte Aufträge handelt.

Die Gruppe hat sehr früh Kenntnis von Zero-Day-Lücken. Diese Kenntnisse werden dann bevorzugt etwa bereits bei Zulieferern des eigentlichen Ziels angewandt. So wurden beispielsweise Computer bereits bei einem Lieferanten infiziert, bevor sie beim eigentlichen Ziel installiert wurden. Die Miet-Hacker sind nach den Erkenntnissen des Teams bei Symantec in zwei Gruppen aufgeteilt, die mit verschiedenen Werkzeugen verschiedene Aufgabengebiete abdecken.

Das erste Team geht relativ brachial vor und verwendet hauptsächlich einen Trojaner, die seit rund einem Jahr unter dem Namen Moudoor bekannt ist. Hiermit wird eine breite Anzahl an Zielen von Banken über Bildungseinrichtungen bis zu Strafverfolgungsbehörden angegriffen. Diese Gruppe agiert breit gestreut und ohne Bedenken, entdeckt zu werden.

Das zweite Team, das in der Regel einen Trojaner namens Naid verwendet, ist eher mit einem Spezialkommando vergleichbar. Ihm obliegen Ziele, die schwer zu knacken sind und Aufträge, die viel Vorbereitung erfordern und sich oft über Monate hinziehen bevor der eigentliche Hack die gewünschten Informationen bringt.

Seit 2011 sind mindestens sechs größere Kampagnen der Hackergruppe analysiert worden. Die spektakulärste Aktion war die VOHO-Spionage-Attacke vor einem Jahr. In der Vorbereitung des Angriffs, der fast 1.000 Institutionen gleichzeitig betraf, wurde ein Zertifikat zum Signieren von Code der Firma Bit9 kompromittiert. Damit zertifizierten die Hacker dann die Malware, die bei der VOHO-Attacke verwendet wurde. Die Attacke richtete sich hauptsächlich gegen Vertragsfirmen des US-Militärs, die alle Kunden bei Bit9 waren.

Den vorliegenden Informationen zufolge ist „Hidden Lynx“ in China beheimatet und ist die technisch und organisatorisch am besten aufgestellte Hackergruppe, die die Forscher bisher untersuchten. Symantec hat mittlerweile ein ausführliches Papier (PDF) zum Vorgehen der Gruppe vorgelegt.

Mehr zum Thema
Anzeige