Es scheint eine groß angelegte Kampagne von Cyberkriminellen zu sein, auf die Websense , laut zdnet.de, hinweist. Gegen Regierungseinrichtungen und Verkehrsunternehmen auf der ganzen Welt richten sich Angriffe, die ihren Ursprung in Russland und möglicherweise auch der Ukraine haben.
Sie richten sich vor allem auf Großbritannien, Indien, Kanada und die USA. Die Kriminellen nutzen dafür die Malware Mevade, die Tor für die Befehlsinfrastruktur nutzt, um ihre Spuren zu verwischen. Wie es auf Websense heißt wurden tausende Computer weltweit infiziert. Websense hat zudem herausgefunden, dass die Angreifer mit Mevade direkt auf dem Host und im fremden Netz Befehle ausführen können. Dafür enthält der Schadcode eine einfache Proxy-Lösung namens 3proxy. “In solchen Fällen wird der Proxy als Reverse Proxy konfiguriert. Er hat die Fähigkeit, einen Tunnel durch Netzumgebungen mit NAT anzulegen, um eine Verbindung zur Infrastruktur der Angreifer herzustellen (in diesem Fall mit Einsatz von SSL über Port 443)”, heißt es. Ziel der Angreifer sind laut Websense neben Datenbanken auch Quelltexte und Dokumentenverzeichnisse.
