Microsoft war in der vergangenen Woche in den Schlagzeilen, als das Unternehmen rechtliche Schritte gegen NoIP startete, eine Hosting-Firma, die angeblich damit Gesch\u00e4fte macht, Cyberkriminellen zu erlauben, den Dienst zur Verbreitung von Schadsoftware zu nutzen. Und auch die Advanced-Persistent-Threat-Kampagne Miniduke tauchte in der letzten Woche wieder auf.<\/p>\n
NoIP<\/strong><\/p>\n NoIP ist Anbieter eines so gennanten Dynamic Domain Name Service (DNS). Die Firma bietet einen Service, bei dem die Nutzer \u2013 wie bei anderen DNS-Anbietern auch \u2013 Domain-Namen f\u00fcr ihre Webseiten kaufen k\u00f6nnen. Der Unterschied ist aber, einfach gesagt, dass das Dynamic-DNS-System den Administratoren erlaubt, ihre Domain-Namen und IP-Adressen ganz einfach zu aktualisieren. Das kann f\u00fcr Cyberkriminelle sehr pratkisch sein, die verhindern wollen, dass die IP-Adressen von Webseiten mit Schadprogrammen oder Seiten, die als Server ein Botnetz kontrollieren, von Antivirus-Programmen entdeckt und blockiert werden. Alledings nutzen auch viele legitime Firmen Dynamic DNS und NoIP.<\/p>\n Microsoft behauptet, sich \u201eNoIP zur Brust zu nehmen, den Besitzer einer Infrastruktur, die regelm\u00e4\u00dfig von Cyberkriminellen genutzt wird, um unschuldige Opfer mit den Sch\u00e4dlingen Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren.\u201c NoIP bestreitet die Unterst\u00fctzung von Schadprogramm-Autoren.<\/p>\n Eine Art, auf die Microsoft Schadprogramm-Kampagnen st\u00f6rt, sind einstweilige Verf\u00fcgungen, durch die das Unternehmen Domains beschlagnahmen oder per Sinkholing den Zugriff auf einzelne Domains, die f\u00fcr sch\u00e4dliche Operationen genutzt werden, auf eigene, von Microsoft kontrollierte Domains umleiten kann. Das Sinkholing, das wir in einem fr\u00fcheren Beitrag bereits erkl\u00e4rt<\/a> haben, ist eine allgemein akzeptierte Methode, die Arbeit von Botnetzen sowie die Verteilung von Schadprogrammen zu st\u00f6ren. Sie kann auf verschiedene Arten eingesetzt werden.<\/p>\n Wie auf der Seite Threatpost erkl\u00e4rt wird<\/a>, arbeiten Sicherheitsforscher oft mit Hosting-Anbietern zusammen, um Zugriffe auf sch\u00e4dliche Domains umzuleiten: auf andere Seiten, die von den Forschern oder von Justizbeh\u00f6rden kontrolliert werden. Damit kappen sie die Lebensader der illegalen Aktion. Problematisch ist im vorliegenden Fall allerdings, dass NoIP behauptet, vorab nicht von Microsoft informiert worden zu sein.<\/p>\n Die Entscheidung von Microsoft hat in der Security-Branche f\u00fcr einiges Aufsehen gesorgt. Ein Punkt ist dabei die Frage, was Microsoft \u2013 einer privaten Firma mit eigenen Zielen und Werten \u2013 die Autorit\u00e4t verleiht, fast wie eine Strafverfolgungsbeh\u00f6rde gegen eine andere Firma oder eine Gruppe von Personen vorzugehen? F\u00fcr manche sieht es so aus, als w\u00fcrde Microsoft, basierend auf eigenen Interessen, im Internet Polizei spielen. Leider waren diese Vorw\u00fcrfe im aktuellen Fall lauter, denn Microsoft hat bei der Aktion versehentlich auch einige legitime Seiten aus dem Web genommen<\/a>.<\/p>\n Einen Kommentar von Costin Raiu, Director des Global Research and Analysis Teams von Kaspersky Lab, finden Sie hier<\/a>.<\/p>\n Miniduke ist zur\u00fcck<\/strong><\/p>\n Miniduke, eine Advanced Persistent Threat (APT), ist zur\u00fcck. Forscher von Kaspersky Lab entdeckten die Spionagekampagne erstmals im Februar 2013. Damals war das vorrangige Ziel des Sch\u00e4dlings, europ\u00e4ische Regierungen auszuspionieren. Miniduke war zu dieser Zeit allerdings einzigartig unter den APTs \u2013 unter anderem, da der Sch\u00e4dling zum Teil \u00fcber Twitter kommunizierte und ausf\u00fchrbare Dateien versteckt in .gif-Dateien verschickte, durch die das Schadprogramm auf infizierten Computern akutalisiert wurde.<\/p>\n Die nun aufgetauchte zweite Welle, die am Donnerstag in einem Securelist-Artikel beschrieben wurde<\/a>, zeigt, dass die Kampagne nach einem Jahr Pause ausgeweitet wurde und komplexer agiert. Neben Regierungen, Milit\u00e4r und Energiekonzernen stiehlt Miniduke nun auch Daten von Online-Apotheken, vor allem solchen, die Hormone und Steroide verkaufen. Neu ist zudem die Verarbeitung der gestohlenen Daten: Diese werden in kleine Teile zerlegt und verstreut, so dass es f\u00fcr Sicherheits-Experten schwerer wird, die Funktionsweise des Sch\u00e4dlings und der Spionagekampagne zu verstehen.<\/p>\n Die neue Miniduke-Version, die den Namen Cosmicduke erhalten hat, enth\u00e4lt zudem neue Tools, durch die der Diebstahl von Informationen effizienter wird. Genauere Informationen dazu finden Sie in unserem Artikel auf Threatpost<\/a>.<\/p>\n