Heise Goldeneye

Sender "Rolf Drescher" Die E-Mails werden unter dem Titel "Rolf Drescher" von unterschiedlichen Anschriften nach dem Muster "rolf. drescher@" verschickt. Das Ingenieurbüro Dipl. - Ing. Wh. Drescher VDI & Kooperationspartner leistet Dekodierungshilfe für die Betroffenen des trojan. Der Trojaner Petrowna und anscheinend wollen sich die Vordenker revanchieren. Dies wird auch dadurch unterstützt, dass der Goldeneye Trojaner viel mit Petrowna mitbringt.

Seit heute Morgen ist das Untenehmen von diesbezüglichen Nachfragen fast überfordert. Im Moment sollten die Personalverantwortlichen auf der Hut sein und keine Excel-Dateien aufklappen, die per Post eingehen und von denen sie nicht ganz wissen, dass sie nicht betroffen sind. Das PDF ist eine seriöse Anwendung, in der das Druckunternehmen und seine Personalverantwortlichen ausdrücklich ansprechbar sind.

Die Dokumentation bezieht sich auch auf bestimmte Vakanzen im Konzern. Den Angreifern erscheinen recht detaillierte Einblicke in die branchentypischen Branchen. Lesern zufolge wurde die richtige Rufnummer und Anschrift des mutmaßlichen Versenders der Post auch im PDF erwähnt. Bei einem so ausgefeilten Angriff ist es nicht überraschend, dass HR-Profis die mitgelieferte XLS-Datei geöffnet und die Macros aktiviert haben, wenn sie dazu aufgerufen wurden.

Inzwischen wird der Goldeneye Trojaner auch an andere Absender mit unterschiedlichen Absenderadressen gesendet.

Verschlüsselungstrojan Goldeneye attackiert spezifisch die Personalabteilung in Deutschland.

Danach wurden die Akten kodiert und die Originaldateien entfernt, und die Systempartition wurde so verändert, dass sie nicht mehr gestartet werden konnte. Das Erpressungsbild von Goldeneye. Offenbar haben die Täter Massenmails an Personalleiter in dt. Firmen und Verbänden geschickt. In der bösartigen Excel-Datei wurde ein Firmenlogo der BA angebracht und so getan, als ob aktive Macros erforderlich wären, um die Bewerberdaten von den Rechnern der BA auszulesen.

Für viele Empfänger erschienen diese Nachrichten recht glaubwürdig, so ist es wahrscheinlich nicht verwunderlich, dass eine beachtliche Zahl von Adreßpersonen die Macros in der Excel-Datei aktiviert hat und so die Goldeneye-Infektion ihren Verlauf nahm. Mit diesen Tipps vermeideten die Stürmer viele der Elemente, die üblicherweise zur Identifizierung von Phishing-E-Mails verwendet werden können. Besonders gefährdet waren die extrem geringen Entdeckungsraten der üblichen Virusscanner am ersten Tag der Attacken.

Der Grund dafür war, dass die Täter diese Daten stündlich änderten, um ihre Nachrichten über die Mailscanner weiter an die Opfer zu senden. Dieser hatte dem Erpresser Peter und seinem Vorgänger Mischa eine Dekodierungshilfe geboten. Es wurde vermutet, dass die beiden Autoren von demselben Verfasser geschrieben wurden, und Goldeneye war auch den beiden trojanischen Pferden ähnlich.

Die Bezeichnung ist natürlich eine Andeutung auf den 1995 entstandenen James-Bond-Film "GoldenEye", in dem James Bond ein abtrünniges russisches Militär und ein kriminelles Syndikat aufhalten muss, das den Bestimmungsschlüssel (das so genannte GoldenEye) zu einer russisch-orbitalienischen MP-Waffe gestohlen hat und durch deren Verwendung zu Reichtum gelangen will.

Bei den beiden Satellitensystemen im Hintergrund handelt es sich um die beiden Planeten Petrowna und Mischa, die von einem russischem Hackergenie namens Boris gesteuert werden. Alles weist also darauf hin, dass die drei trojanischen Varianten von den gleichen Masterminds abstammen. Schließlich hatte er ja auch schon einmal probiert, ihr Geschaeft mit Petrowna und Mischa zu ruinieren. In einem Interview mit c't erläuterte eine Repräsentantin der Unternehmensberatung, dass sie am ersten Tag der Infektion über 500 Telefonate und zahllose E-Mails erhalten habe.

Das Unternehmen war völlig gelähmt und es wurden Anklagen gegen die Machthaber der Goldeneye-Kampagne erhoben. Wie es scheint, kommen die Angaben zu Ansprechpartnern in Unternehmen und deren Stellenangeboten, die die Täter für ihre Phishing-Kampagne verwendeten, von der BAG. Dazu gehören unter anderem E-Mail-Adressen, die die Unternehmen ausschliesslich für die Mitteilung an die Bundesanstalt genutzt haben.

Aus mehreren Quellen erhielten wir auch die Zusicherung, dass einige der E-Mails Hinweise auf Jobs enthalten, die ausschliesslich vom Arbeitsministerium angeboten werden. Wir wissen nicht, ob es bei der BA wirklich ein Datendiebstahl gibt. Es ist vorstellbar, dass die Täter auf allgemein zugängliche Daten der BA zurückgegriffen haben.

Bei der Aktivierung des Trojaners auf einem Rechner vereint er die schlechten Merkmale der Vorläufer Petya und Mischa.

Im Blockbereich konnten wir jedoch noch Werte einlesen. Wenn es dem Betroffenen im zweiten Infektionsschritt gelungen ist, das Gerät nach dem Aktivieren des trojanischen Computers abzuschalten, bevor Goldeneye den Boot-Loader und den Boot-Sektor der Harddisk beeinflusst, kann die Harddisk leicht auf ein anderes Gerät wiederhergestellt und dort als Datendiskette aufgerufen werden.

Auf diese Weise können nicht verschlüsselte Informationen gespeichert werden. Bei den im ersten Arbeitsschritt kodierten Akten war jedoch bis zum Redaktionsschluss keine Rettungsaktion bekannt. Es ist nur hilfreich, die Aufzeichnung zur Seite zu schieben und zu wünschen, dass die Goldeneye Verschlüsselung in den nächsten Jahren zerbricht. Doch wie das Goldeneye Gehäuse klar erkennen lässt, bringt es ab und zu nichts.