Ein alter Bekannter ist wieder aufgetaucht: Rechtzeitig zur WM in Russland hat die Schadsoftware, die die Eröffnungsfeier der Olympischen Spiele in Korea sabotiert hat, wieder zugeschlagen. Diesmal wurden allerdings keine Spielorte angegriffen, sondern unterschiedliche Ziele in ganz Europa und in Russland. In Deutschland, den Niederlanden, der Schweiz, Frankreich und der Ukraine soll die Malware den Sicherheitsforschern von Kaspersky zufolge besonders Schutzeinrichtungen vor chemischen und biologischen Bedrohungen im Visier haben. Dazu zählen beispielsweise Speziallabors oder der Katastrophenschutz. In Russland hingegen hat Olympic Destroyer es eher auf die Finanzbranche abgesehen, ein weniger gefährliches, aber ebenfalls lukratives Angriffsziel.
Auch bei den neuen Infektionen haben sich die kriminellen Hintermänner wieder der Methode des Spearphishings bedient. Dabei werden Mitarbeiter des angegriffenen Unternehmens ganz gezielt und personalisiert per E-Mail angeschrieben. Wird dann der Anhang der Mail geöffnet, infiziert der Schädling den Computer. Im aktuellen Fall von Olympic Destroyer hatten die infizierten Mails für die europäischen Angriffsziele beispielsweise einen Bezug zum Labor Spiez, einer schweizerischen Fachstelle, die das Land und seine Einwohner vor atomaren, chemischen und biologischen Bedrohungen und Gefahren schützen soll und im Herbst eine Konferenz zu diesem Thema in der Schweiz ausrichten wird.
Ist der Schädling einmal auf dem Rechner, bindet er diesen in einen Command-and-Control-Server ein und das infizierte Gerät wird Teil eines Botnetzes. Eine Besonderheit von Olympic Destroyer war, dass die Malware sich zusätzlich auch wie ein Wurm im Netzwerk verbreiten konnte und so tief in die Systeme eingedrungen war. Ob das auch bei der aktuellen Welle der Fall ist, ist nicht bekannt. Das gilt im Übrigen auch für die Hintermänner, die bislang noch völlig unbekannt sind. Da sich aber sowohl die Angriffe als auch der Schädling nicht nur beim ersten Fall in Korea, sondern auch bei den aktuellen Angriffen gleichen, ist davon auszugehen, dass es sich um dieselben Täter handelt. Diese kommen jedoch wohl nicht, wie anfänglich angenommen, aus Nordkorea. Hier hatten die Programmierer ganz gezielt und systematisch falsche Spuren im Code versteckt, die die Ermittler auf diese Fährte bringen sollten. Das hat anfänglich auch geklappt, allerdings hat sich bei genauerer Untersuchung herausgestellt, dass wohl verschiedene andere Hackergruppen hinter den Angriffen stecken. Auch im aktuellen Fall finden sich irreführende Codeschnipsel, die genauer untersucht werden müssen, bevor eine Aussage zur Herkunft getroffen werden kann.
Die europäischen Angriffsziele der neuen Welle von Olympic Destroyer sind jedenfalls nicht ganz ungefährlich. Der Schutz der Bevölkerung vor chemischen und biologischen Angriffen zählt zu den wichtigsten Aufgaben einer wirksamen Verteidigung vor Terroranschlägen. Angriffe mit biologischen Kampfstoffen wie 1995 durch Mitglieder der Aum-Sekte in Tokyo oder der vereitelte Zyanid-Anschlag auf die Londoner U-Bahn im Jahr 2002 zählen neben Selbstmordattentätern zu den gefürchtetsten Bedrohungen. Gerade erst wurde in Köln ein mutmaßlicher Attentäter festgenommen, der hochgiftiges Rizin für einen Anschlag hergestellt hatte. Würde eine Schadsoftware im Ernstfall die Strukturen und Einrichtungen zum Schutz vor solchen Angriffen lahmlegen, möchte man sich die Konsequenzen nicht ausmalen. Umso wichtiger ist es, die Mitarbeiter in diesen Organisationen vor Spearphishing und anderen Einfallstoren von Malware zu warnen und sie im sicheren Umgang mit dem Internet zu schulen. Außerdem sollten die Systeme regelmäßig und in kurzen Zeitabständen überprüft werden.
Auch bei den neuen Infektionen haben sich die kriminellen Hintermänner wieder der Methode des Spearphishings bedient. Dabei werden Mitarbeiter des angegriffenen Unternehmens ganz gezielt und personalisiert per E-Mail angeschrieben. Wird dann der Anhang der Mail geöffnet, infiziert der Schädling den Computer. Im aktuellen Fall von Olympic Destroyer hatten die infizierten Mails für die europäischen Angriffsziele beispielsweise einen Bezug zum Labor Spiez, einer schweizerischen Fachstelle, die das Land und seine Einwohner vor atomaren, chemischen und biologischen Bedrohungen und Gefahren schützen soll und im Herbst eine Konferenz zu diesem Thema in der Schweiz ausrichten wird.
Ist der Schädling einmal auf dem Rechner, bindet er diesen in einen Command-and-Control-Server ein und das infizierte Gerät wird Teil eines Botnetzes. Eine Besonderheit von Olympic Destroyer war, dass die Malware sich zusätzlich auch wie ein Wurm im Netzwerk verbreiten konnte und so tief in die Systeme eingedrungen war. Ob das auch bei der aktuellen Welle der Fall ist, ist nicht bekannt. Das gilt im Übrigen auch für die Hintermänner, die bislang noch völlig unbekannt sind. Da sich aber sowohl die Angriffe als auch der Schädling nicht nur beim ersten Fall in Korea, sondern auch bei den aktuellen Angriffen gleichen, ist davon auszugehen, dass es sich um dieselben Täter handelt. Diese kommen jedoch wohl nicht, wie anfänglich angenommen, aus Nordkorea. Hier hatten die Programmierer ganz gezielt und systematisch falsche Spuren im Code versteckt, die die Ermittler auf diese Fährte bringen sollten. Das hat anfänglich auch geklappt, allerdings hat sich bei genauerer Untersuchung herausgestellt, dass wohl verschiedene andere Hackergruppen hinter den Angriffen stecken. Auch im aktuellen Fall finden sich irreführende Codeschnipsel, die genauer untersucht werden müssen, bevor eine Aussage zur Herkunft getroffen werden kann.
Die europäischen Angriffsziele der neuen Welle von Olympic Destroyer sind jedenfalls nicht ganz ungefährlich. Der Schutz der Bevölkerung vor chemischen und biologischen Angriffen zählt zu den wichtigsten Aufgaben einer wirksamen Verteidigung vor Terroranschlägen. Angriffe mit biologischen Kampfstoffen wie 1995 durch Mitglieder der Aum-Sekte in Tokyo oder der vereitelte Zyanid-Anschlag auf die Londoner U-Bahn im Jahr 2002 zählen neben Selbstmordattentätern zu den gefürchtetsten Bedrohungen. Gerade erst wurde in Köln ein mutmaßlicher Attentäter festgenommen, der hochgiftiges Rizin für einen Anschlag hergestellt hatte. Würde eine Schadsoftware im Ernstfall die Strukturen und Einrichtungen zum Schutz vor solchen Angriffen lahmlegen, möchte man sich die Konsequenzen nicht ausmalen. Umso wichtiger ist es, die Mitarbeiter in diesen Organisationen vor Spearphishing und anderen Einfallstoren von Malware zu warnen und sie im sicheren Umgang mit dem Internet zu schulen. Außerdem sollten die Systeme regelmäßig und in kurzen Zeitabständen überprüft werden.
