Die dunkle Seite der Web Analytics: FireEye entdeckt eine Gruppe von Cyberkriminellen, die in großem Stil Daten sammelt

(PresseBox) ( München, )
FireEye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, hat ein großangelegtes kriminelles Datenerfassungsprojekt entdeckt[1]. Eine Gruppe von Cyberkriminellen, die vermutlich von staatlicher Seite unterstützt wird, sammelt in großem Umfang Informationen von Internetnutzern, indem sie Web-Analytics-Technologien für ihre Zwecke missbraucht.

Tagtäglich nutzen Fachleute aus Werbung, Marketing und Einzelhandel Web Analytics, um Erkenntnisse darüber zu gewinnen, wie sie ihre Kunden und Zielgruppen am besten erreichen können. Cyberkriminellen dient die Methode hingegen dazu, potenzielle Opfer zu identifizieren und Daten über sie zu sammeln.

Im konkreten Fall haben die kriminellen Akteure über 100 ausgewählte Websites manipuliert. Wer diese Websites besucht, wird heimlich auf eine weitere Website weitergeleitet, die als Host für ein Skript mit dem Namen WITCHCOVEN fungiert. Dieses Skript sammelt Informationen über das Computersystem des Nutzers und installiert einen sogenannten „Supercookie“, mit dem sich der Rechner des Opfers künftig eindeutig identifizieren lässt.  FireEye geht davon aus, dass die Cyberkriminellen eine Datenbank mit Informationen zu einzelnen Nutzern und ihrer Computer-Konfiguration anlegen, so dass diese sich später mit speziell auf sie zugeschnittenen Exploits manipulieren lassen.

Mehrere Gründe sprechen dafür, dass die kriminelle Aktivität der Gruppe einen staatlichen Hintergrund hat: Zum einen ist die schiere Menge der gesammelten Daten typisch für die Informationsbedürfnisse eines großen Staates. Zudem handelt es sich bei den manipulierten Websites um Seiten, die bestimmte Interessen bedienen wie zum Beispiel Diplomatie, internationale Reisen, Energieerzeugung und -politik, globale Wirtschaft sowie Staatsregierungen. Deren Publikum dürfte folglich für staatliche Nachrichtendienste interessant sein. Schließlich weist die Tatsache, dass bei der Aktivität offenbar zunächst weder Exploits noch Malware zum Einsatz kommen, darauf hin, dass es sich um ein langangelegtes Projekt mit einem überdurchschnittlich hohen Geheimhaltungslevel handelt – ebenfalls typisch für staatliche Aktivitäten.

„Internetnutzer können sich vor Datenerfassungs-Aktivitäten wie dieser kaum schützen, weil die gleichen Methoden zum Einsatz kommen, die legitime Website-Betreiber zur Erfassung von Nutzungsdaten anwenden“, sagt Frank Kölmel, VP Central & Eastern Europe bei FireEye. „Hilfreich können die Inkognito-Einstellungen vieler Browser sein, die zum Beispiel Cookies oder Skripte blockieren, was aber auch die normale Funktion vieler Websites behindern kann. Die gute Nachricht ist, dass das Computersystem des Nutzers durch diese Art von krimineller Aktivität zunächst nicht beeinträchtigt wird. Gefährlich werden kann es aber für die Institutionen und Organisationen, auf die die Kriminellen letztlich aus sind. Für sie ist es ratsam, geeignete Sicherheitsmaßnahmen zu ergreifen, um Folgeangriffe zu verhindern.“

Weitergehende Informationen finden Sie in dem FireEye Report unter dem folgenden Link: https://www.fireeye.com/blog/threat-research/2015/11/pinpointing_targets.html

[1] Kasperski Labs, Symantec und iSIGHT haben über ähnliche Kampagnen berichtet, die möglicherweise mit den Aktivitäten, die FireEye beschreibt, in Zusammenhang stehen.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.