Datendiebstahl

Gestohlene Login-Daten für 8700 FTP-Server entdeckt

28.02.2008
Der Sicherheitsanbieter Finjan ist auf eine illegale Datenbank gestoßen, in der gestohlene Zugangsdaten für rund 8700 FTP-Server zum Kauf angeboten werden.

Laut den Experten des Malicious Code Research Center (MCRC) von Finjan umfasst die Datenbank Login-Daten wie Nutzernamen, Passwörter und Server-Adressen für FTP-Server von einigen weltweit führenden Unternehmen. Nach Angaben von Yuval Ben-Itzhak, Chief Technology Officer (CTO) bei Finjan, können Kriminelle mit Hilfe der gestohlenen Daten in einen FTP-Server einbrechen sowie beliebige Malware auf das kompromittierte System schleusen.

Die Informationen selbst werden über eine speziell für den Handel mit gestohlenen FTP-Zugangsdaten konzipierte Web-Applikation zum Kauf angeboten, die die Logins nach Server-Standorten beziehungsweise Ländern sortiert anbietet und je nach ihrem Google-Ranking mit Preisen versieht. Kriminelle könnten jeden beliebigen dort gelisteten Server auswählen, dafür bezahlen und dann mit sehr geringem Aufwand eine Attacke lancieren, so Ben-Itzhak. Darüber hinaus ermögliche es die aktualisierte Version des Multi-Exploit-Toolkits "NeoSploit", automatisch iFrame-Tags in auf dem kompromittierten FTP-Server befindliche Web-Sites zu injizieren. Die Tags dienen laut Finjan dazu, Schadcode von einer anderen Web-Seite zu ziehen. Laut MCRC sind sämtliche in der Datenbank gehorteten FTP-Logins offenbar mittels Trojanern oder anderen Arten von Malware gesammelt worden.

Die illegale Datenbank in Kombination mit der dazu gehörigen Handels-Applikation zeugten davon, dass das bislang nur auf legitime Anwendungen angewendete Software-as-a-Service-Konzept mittlerweile auch von der Cyber-Unterwelt als Geschäftsmodell genutzt werde, so Finjan-CTO Ben-Itzhak.

Die Datenbank wird von einem Server in Hongkong gehostet, deren Inhalte sind jedoch russischen Ursprungs. Obwohl Finjan den betroffenen ISP via E-Mail über den illegalen Daten-Pool informiert hat, soll der Server noch bis zum vergangenen Wochenende am Netz gewesen sein. Ob dieser selbst kompromittiert war, ist derzeit noch unklar. (kf)