{"id":9501,"date":"2017-01-13T15:52:27","date_gmt":"2017-01-13T15:52:27","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=9501"},"modified":"2019-11-22T12:23:44","modified_gmt":"2019-11-22T10:23:44","slug":"eyepyramid-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/eyepyramid-spyware\/9501\/","title":{"rendered":"EyePyramid: die unbek\u00fcmmerte Malware"},"content":{"rendered":"

Wenn wir auf Kaspersky Daily \u00fcber Malware sprechen \u2014 und das machen wir recht oft \u2013 w\u00e4hlen wir die Malware-Arten, von denen nach unseren Daten die meisten User betroffen sind. CryptXXX<\/a>, TeslaCrypt<\/a> und andere Bedrohungen, die weltweit Millionen angegriffen haben, sind nur einige Beispiele. Malware, die nur ein paar Mal in Erscheinung getreten ist, verdient wenig Aufmerksamkeit. Wie Sie wissen, gibt es dort drau\u00dfen viel Malware \u2014 wir k\u00f6nnen nur nicht jeder einzelnen einen Blogeintrag widmen.<\/p>\n

Aber keine Regel ohne Ausnahme. Heute werden wir \u00fcber eine\u00a0Malware mit dem Namen EyePyramid sprechen. Nein, wir haben ihr den Namen nicht gegeben; das waren ihre\u00a0Entwickler. Und der Grund daf\u00fcr, warum wir \u00fcber EyePyramid reden, ist, dass sie aus der Masse herausragt und ihre Geschichte fast schon wie ein M\u00e4rchen klingt. In ihr erreicht ein kleiner Mann gro\u00dfe Ergebnisse (und versagt am Ende).<\/p>\n

Italienisches Spionage-Familienunternehmen<\/strong><\/h3>\n

Fangen wir mit der Tatsache an, dass EyePyramid eigentlich ein Familienunternehmen war. Die Malware an sich wurde von einem 45-j\u00e4hrigen Italiener entwickelt, Giulio Occhionero, der einen Abschluss in Nukleartechnik hat. Er und seine Schwester, Francesca Maria Occhionero, 48, arbeiteten daran, die Malware zu verbreiten. Sie arbeiteten zusammen in einer kleinen Investmentfirma mit dem Namen Westland Investments.<\/p>\n

Laut einem k\u00fcrzlich von der italienischen Polizei ver\u00f6ffentlichten<\/a> Bericht, wurde EyePyramid \u00fcber Phishing verbreitet und hatte im Wesentlichen hohe italienische Regierungsmitglieder, zusammen mit Freimaurern, Anwaltskanzleien, Beratungsdienstleistern, Universit\u00e4ten und selbst vatikanische Kardin\u00e4le im Visier.<\/p>\n

Warum? Nach der Installation verschaffte die Malware seinem Entwickler Zugriff auf alle Ressourcen der Computer ihrer Opfer. Sie wurde allein dazu genutzt, um Informationen zu sammeln, mit denen, so<\/a> SC Magazine, wiederum profitablere Investitionen durchgef\u00fchrt wurden. Malware als Analysewerkzeug. Ich pers\u00f6nlich sehe keine Verbindung zwischen Investment und Kardin\u00e4len, aber scheinbar war dies bei den Kriminellen anders.<\/p>\n

Die hohen Positionen der Opfer und auch die Tatsache, dass die italienische Polizei aus den Details zu EyePyramid kein Geheimnis machte (bis auf die Adressen der Command-and-Control- (C&C-) Server und verschiedene verwendete E-Mails), weckte die Aufmerksamkeit unserer GReAT-Experten. Also entschieden sie sich, auf eigene Faust zu ermitteln<\/a>.<\/p>\n

Holpriges Cyberverbrechen<\/strong><\/h3>\n
Einige Medien beharren darauf, dass EyePyramid komplex und fortschrittlich ist. Das stimmt nicht. Tats\u00e4chlich handelt es sich um recht einfache Malware<\/div>\n

Durch Informationen aus dem Polizeibericht konnten unsere Analysten weitere 44 Beispiele f\u00fcr EyePyramid finden, und das half uns, das ganze besser zu verstehen. Einige Medien beharren darauf, dass EyePyramid komplex und fortschrittlich ist. Das stimmt nicht. Tats\u00e4chlich ist sie recht einfach. Das Verbrecherduo nutzte stumpfe Methoden, wie die Verwendung verschiedener Orte, um die Erweiterungen der ausf\u00fchrbaren Dateien zu verbergen, die die Malware enthielten. Der Trick sieht einfach aus, aber er funktioniert.<\/p>\n

Es stellt sich auch heraus, dass die Occhioneros schon vor vielen Jahren mit dem kriminellen Teil ihres Gesch\u00e4fts begonnen hatten \u2013 die fr\u00fchsten Beispiele, die wir finden k\u00f6nnen, reichen bis ins Jahr 2010 zur\u00fcck. Italienische Beamte sprechen davon, dass das Duo seit 2008 aktiv gewesen sein k\u00f6nnte.<\/p>\n

#EyePyramid: Amateur-Malware, die die italienische Regierung ausspionierte<\/p>Tweet<\/a><\/blockquote>\n

Da beide Amateure im Bereich der Cybersicherheit waren, mangelte es ihnen an Betriebssicherheit. Tats\u00e4chlich k\u00fcmmerten sie sich nicht im Geringsten um Sicherheit, und sprachen in normalen Telefongespr\u00e4chen (die, wie Sie wissen, einfach von Strafverfolgungsbeh\u00f6rden abgefangen werden k\u00f6nnen<\/a>) und WhatsApp (das bis dieses Jahr<\/a> keine End-to-End-Verschl\u00fcsselung verwendete) \u00fcber ihre Opfer und hinterlie\u00dfen Spuren ihrer IP-Adressen, die mit ihrem Unternehmen in Verbindung standen.<\/p>\n

Nichtdestotrotz waren sie nach Sch\u00e4tzungen der italienischen Polizei mindestens drei Jahre aktiv, und vielleicht sogar mehr als acht Jahre, attackierten mehr als 16.000 Opfer und erhielten mehr als 100 Mal Zugriff auf den Computer eines Opfers. Dadurch gelang das Duo an viele Informationen \u2013 viele Gigabytes von Daten, mit denen sie wohlm\u00f6glich ihre Investitionen verbessern konnten.<\/p>\n

Das Ende eines M\u00e4rchens<\/strong><\/h3>\n

Dennoch ist diese Geschichte die perfekte Best\u00e4tigung daf\u00fcr, dass Investition in Bildung (in diesem Fall, das Erlenen von Betriebssicherheit) sich f\u00fcr gew\u00f6hnlich mehr auszahlt. Am 10. Januar wurden Giulio und Francesca Maria Occhionero vom FBI verhaftet, wodurch der Siegeszug der Malware sein Ende fand.<\/p>\n

Ihr langer Erfolg scheint \u00fcberraschend, aber vielleicht liegt das Geheimnis in der Einfachheit der Malware. Sie wirkte zu langweilig, um ihr nachzugehen, und Kaspersky Security Network zeigte nur 92 Infektionsversuche, was ein Tropfen im Ozean ist, wenn man den Fall mit der Anzahl der Infektionsversuche von bekannter Ransomware vergleicht. Nichtsdestotrotz sind die Kriminellen hinter Gittern. Ende gut, alles gut.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine Geschichte zweier Amateure, die jahrelang italienische Amtspersonen ausspionieren konnten, ohne gefasst zu werden.<\/p>\n","protected":false},"author":696,"featured_media":9503,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[885,2388,2389,1650,337,1072],"class_list":{"0":"post-9501","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cyberspionage","10":"tag-eyepyramid","11":"tag-italien","12":"tag-malware","13":"tag-spionage","14":"tag-spyware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/eyepyramid-spyware\/9501\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/eyepyramid-spyware\/5808\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/eyepyramid-spyware\/10676\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/eyepyramid-spyware\/8245\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/eyepyramid-spyware\/13958\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/eyepyramid-spyware\/2865\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/eyepyramid-spyware\/13838\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/eyepyramid-spyware\/6033\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/eyepyramid-spyware\/13629\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/eyepyramid-spyware\/13958\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/eyepyramid-spyware\/13838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/eyepyramid-spyware\/13838\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/cyberspionage\/","name":"Cyberspionage"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=9501"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9501\/revisions"}],"predecessor-version":[{"id":21065,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/9501\/revisions\/21065"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/9503"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=9501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=9501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=9501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}