Die Site-Logins befanden sich auf einem von Kriminellen betriebenen Server, auf den Ian Amit, Director Security Research bei Aladdin Knowledge Systems, im Zuge seiner Untersuchung des unlängst totgesagten, mittlerweile aber neu entdeckten Hacker-Toolkits Neosploit gestoßen war. Demnach wurden die auf dem Server gelisteten Zugangsdaten dazu verwendet, legitime Web-Seiten mit Schadcode zu versehen, den der darauf befindliche Exploit-Werkzeugkasten lieferte.
"Die Server-basierende Applikation, die die FTP-Zugangsdaten der Server auf ihre Gültigkeit überprüfte und dann die Sites modifizierte, war vollständig automatisiert", berichtet Amit. Der auf lediglich sechs bis sieben IP-Adressen beschränkte Applikationszugriff weist ihm zufolge darauf hin, dass dieser ausschließlich für die Nutzer des E-Crime-Servers bestimmt war. Nach Einschätzung des Experten waren vermutlich zwei bis drei verschiedene Banden in die Login-Sammelaktion involviert.
Mehr als die Hälfte der dort gehorteten Zugangdaten - rund 107.000 - wurden von der Hacker-Anwendung als valide identifiziert, sprich: sie ermöglichen administrativen Zugriff auf die jeweilige Site. Insgesamt sollen bereits 82.000 Logins dazu missbraucht worden sein, Web-Content so zu modifizieren, dass Site-Besucher angegriffen werden können. Die Mehrzahl der Angriffsziele befinden sich in Europa. Betroffen sind laut Aladdin eine Vielzahl von Organisationen - darunter die Internet-Auftritte von Regierungsbehörden, größeren Rüstungsherstellern, namhaften Universitäten sowie einigen Fortune-500-Unternehmen - und der US-amerikanischen Post. Der Sicherheitsanbieter geht davon aus, dass die restlichen gültigen 20.000 Daten für den späteren Handel mit anderen Online-Kriminellen vorgesehen waren. Unklar ist indes, auf welchem Weg sich die Kriminellen Zugriff auf die Site-Logins verschafft haben. Möglicherweise wurden diese illegal erworben oder über ein speziell für diese Aufgabe konzipiertes Bot-Netz gesammelt, mutmaßt Amit.
Entdeckt wurde das Login-Depot bereits vor einem Monat - seit dem arbeitet Aladdin eigenen Angaben zufolge weltweit mit Behörden und anderen Organisationen zusammen, um die betroffenen Site-Betreiber zu benachrichtigen. Darüber hinaus bietet Aladdin Unternehmen die Möglichkeit, nachzufragen, ob ihr Internet-Auftritt zu den kompromittierten Web-Sites gehört.
