Das NSA-Tool "Doublepulsar"
Wie heise.de dazu unter Berufung auf die Erkenntnisse von Sicherheitsforschern von Binery Edge berichtete, haben Unbekannte in den vergangenen Tagen offenbar fast 200.000 Windows-Computer in aller Welt übernommen. Unter den besonders Betroffenen befinden sich demnach die Vereinigten Staaten, vor Hongkong und China.
Wie Sicherheitsforscher bereits im Vorfeld ermittelt hatten, sollten mehr als fünf Millionen Geräte für die NSA-Malware angreifbar sein, obwohl Microsoft bereits einen Patch veröffentlicht hat. Mit der Veröffentlichung verschiedener NSA-Hackingtools durch die Hacker der Shadow Brokers ist ein rasanter Anstieg von Infektionen zu vermelden.
Ein Tool, das dateilos funktioniert
Zusammen mit "Doublepulsar" wurde von der Hacker-Gruppe "Shadow Brokers" auch ein weiterer Code veröffentlicht. Mit diesem Code können anfällige Windows-PC’s übernommen werden mit dem Ziel, weitere Malware nachzuladen. Laut ArsTechnica funktioniert das Tool dateilos, das bedeutet, dass es nach einem Neustart vom infizierten Gerät entfernt wird. Wie The Register weiter ausführt, können infizierte Geräte identifiziert werden, indem die Antwort auf einen speziellen Ping auf den Port 445 überwacht wird. Eine Methode, die Microsoft bezüglich der Zuverlässigkeit allerdings in Zweifel zieht.
Patch MS17-010 schließt Lücke
Zu Beginn dieser Woche wurden von Binary Edge 183.000 Infektionen registriert. Man geht davon aus, dass damit ein Ende der Zunahme betroffener Geräte nicht in Sicht ist. Microsoft hatte die als Einfallstor genutzte kritische SMB-Lücke mit dem Patch MS17-010 Mitte März geschlossen.
Weiterführende Links:
Weitere NSA-Malware veröffentlicht
binaryedge.io: Doublepulsar
arstechnica.com: 10,000 Windows computers may be infected by advanced NSA backdoor
theregister.co.uk: Script kiddies pwn 1000s of Windows boxes using leaked NSA hack tools
heise.de: Geleakte NSA-Hackersoftware: Offenbar hunderttausende Windows-Computer infiziert