03.02.2012 00:07
MSUpdate-Trojaner attackierte Rüstungsfirmen
Mit einer Einladung zu renommierten Fachkonferenzen haben Unbekannte versucht, einen Trojaner bei Firmen der Rüstungsindustrie einzuschleusen. Wer den angehängten Flyer im PDF-Format öffnete, handelte sich über eine bis dahin nicht bekannte Lücke im Acrobat-Reader Spionage-Software ein, erklären die Sicherheitsfirmen Seculert und Zscaler.
Der Konferenz-Flyer war ein Trojanisches Pferd.
Bild: Seculert
Ziel der Angriffe waren den Angaben zufolge vor allem europäische und amerikanische Firmen im Regierungsumfeld, darunter Rüstungs- und Luffahrtunternehmen. Die Angriffe sollen bereits 2009 begonnen und ihren Höhepunkt im Herbst 2010 erreicht haben. Noch vor wenigen Wochen habe man kompromittierte Rechner entdeckt, von denen einige seit zwei Jahren infiziert waren, erklärte Aviv Raff, CTO von Seculert, gegenüber heise Security.
Über einen 0day-Exploit in Adobes Reader gelangte letztlich der Trojaner msupdater.exe auf die Systeme, der sich dann nach Kräften bemühte, auch wie ein ordentlicher Update-Prozess auszusehen. So verwendete er etwa URLs der Form http://domain.com/microsoftupdate/getupdate/default.aspx?ID=... Er enthielt ein so genanntes Remote Adminstration Toolkit, über das sich der Arbeitsplatzrechner dann überwachen und fernsteuern ließ.
Zum Zeitpunkt der Attacken flogen die Trojaner noch weitgehend unter dem Radar der AV-Hersteller; mittlerweile haben sie zwar längst Signaturen für die damals eingesetzten Exploits und Spionagaprogramme wie msupdater.exe nachgereicht. Ob sie die aktuell eingesetzten Spionage-Tools jedoch erkennen, darf man bezweifeln.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
