{"id":18229,"date":"2018-12-06T11:04:15","date_gmt":"2018-12-06T09:04:15","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18229"},"modified":"2020-02-26T18:46:14","modified_gmt":"2020-02-26T16:46:14","slug":"dark-vishnya-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dark-vishnya-attack\/18229\/","title":{"rendered":"DarkVishnya: interne Angriffe auf Unternehmensinfrastrukturen"},"content":{"rendered":"

Normalerweise beginnen wir mit der Untersuchung eines Cybervorfalls, indem wir uns auf die Suche der Infektionsquelle begeben. F\u00fcr gew\u00f6hnlich ist diese Quelle nicht besonders schwer zu finden \u2013 wir halten ganz einfach Ausschau nach einer E-Mail mit Malware-Anhang, einem sch\u00e4dlichen Link oder einem gehackten Server. Im Regelfall verf\u00fcgen Sicherheitsexperten \u00fcber eine umfassende Ger\u00e4teliste; sie m\u00fcssen also lediglich herausfinden, welches \u200b\u200bdieser Ger\u00e4te die sch\u00e4dliche Aktivit\u00e4t entfacht hat. Was aber, wenn alle Ihre Computer scheinbar einwandfrei sind \u2013 und es dennoch b\u00f6sartige Aktivit\u00e4ten gibt?<\/p>\n

K\u00fcrzlich haben unsere Experten genau eine solche Situation untersucht. Worauf sie gesto\u00dfen sind? Die Angreifer haben ihr eigenes Ger\u00e4t physisch mit dem Unternehmensnetzwerk verbunden.<\/p>\n

Der Ausgangspunkt dieser Art des Angriffs, DarkVishnya genannt, ist ein Krimineller, der ein Ger\u00e4t zum B\u00fcro oder Arbeitsplatz des Opfers bringt und es dann mit dem Unternehmensnetzwerk verbindet. \u00dcber dieses Ger\u00e4t k\u00f6nnen die Kriminellen dann die IT-Infrastruktur des Unternehmens aus der Ferne untersuchen, Passw\u00f6rter abfangen, Informationen aus \u00f6ffentlichen Ordnern lesen und vieles mehr.<\/p>\n

Alle technischen Details zu diesem Angriff finden Sie in diesem Beitrag auf Securelist<\/a>. In diesem besonderen Fall hatten es die Kriminellen auf mehrere Finanzinstitute in Osteuropa abgesehen. Die Methode kann potenziell aber gegen jedes Gro\u00dfunternehmen eingesetzt werden. Je gr\u00f6\u00dfer desto besser; denn in den B\u00fcror\u00e4umen eines Gro\u00dfunternehmens ist es deutlich einfacher, ein sch\u00e4dliches Ger\u00e4t unbemerkt unterzubringen. Besonders effektiv ist diese Methode aber vor allem dann, wenn ein Unternehmen \u00fcber viele B\u00fcros weltweit verf\u00fcgt, die mit einem einzigen Netzwerk verbunden sind.<\/p>\n

Die Ger\u00e4te<\/h2>\n

Bei der Untersuchung dieses Falls stie\u00dfen unsere Experten auf drei unterschiedliche Ger\u00e4tetypen. Derzeit k\u00f6nnen wir allerdings noch nicht genau sagen, ob all diese Ger\u00e4te von einer einzigen Gruppe in die betroffenen Unternehmen eingeschleust worden sind oder ob es mehrere Akteure gab; alle Angriffe verfolgten allerdings denselben Ansatz. Bei allen beteiligten Ger\u00e4ten handelte es sich um:<\/p>\n