1040089

FBI untersucht E-Mail-Wurm

27.09.2010 | 07:14 Uhr |

Trotz widersprüchlichen Indizien wie IP-Adresse und Zeitstempel der E-Mails vermuten Sicherheitsexperten hinter der Attacke einen Hacker, der eine radikale Terroristen-Organisation in Libyen unterstützt.

Spam Assasin
Vergrößern Spam Assasin

Das FBI hat Ermittlungen eingeleitet, die Herkunft und Urheber des E- Mail-Wurms "Here you have" untersuchen. Der Wurm wurde vor zwei Wochen entdeckt und trat vorwiegend in den Mail-Systemen von US-Firmen auf. Am ersten Tag des Auftretens waren laut Cisco Systems zwischen sechs und vierzehn Prozent aller Spam-Nachrichten in Unternehmen wie Disney, Proctor & Gamble und die NASA auf diesen Wurm zurückzuführen.

Ein Hacker mit dem Decknamen "Iraq Restistance" ("Irak Widerstandsbewegung") hat in den letzten zwei Wochen per E-Mail Kontakt zum IDG-Verlag aufgenommen und dem Zwischenfall diskutiert. Das FBI untersucht nun die Korrespondenz nach Hinweisen, die auf den Urheben schließen lassen.

Der Hacker hat seine Identität natürlich nicht preis gegeben, aber einige Indizien hinterlassen. Sein Youtube-Profile gibt Spanien als Heimat an, aber der Sicherheitsexperte Joe Stewart von Secure Works analysierte, dass der Hacker wahrscheinlich aus Libyen kommt und die Cyber-Jihad-Organisation "Tariq in Ziyad ", unterstützt. Diese Gruppe hat das erklärte Ziel, US-Armee-Agenturen zu unterminieren. Die verwendete IP-Adresse und Proxy-IP-Adresse in den E-Mails zeigt die Verwendung des Mobil-Netzwerkes 3 in England ( Hutchinson 3G UK ) über einen Opera Mini-Webbrowser. Dafür muss der Hacker aber noch lange nicht in England sein: Wahrscheinlicher ist schlichtweg ein Exploit auf einem Computer, der auf das Mobile-Netzwerk von 3 zugreift, oder der Einsatz einer SIM-Karte für 3, die irgendwann von irgendwem in England gekauft wurde.

Am letzten Donnerstag bestätigte der Hacker einer E-Mail, dass er Zugriff auf eine Reihe von gehackten Computern und Proxy-Servern hat und jederzeit seine IP-Adresse auf verschiedene Länder-Herkunft wechseln kann. Zum Beweis sendete er unmittelbar danach eine weitere E-Mail, die sich zu dem Service-Provider von "Pacentia Reliable Web Services" in den USA zurückverfolgen lies. Die verwendete IP-Adresse zeigt Hinweise auf den Einsatz von Malware und wird von vielen gehackten Computern benutzt.

Laut dem Zeitstempel in den E-Mails ist der Hacker in einer gegenüber Deutschland um zwei Stunden verschobenen Zeitzone (UTC +3), d.h. möglicherweise im Irak, Saudia Arabien oder Ost-Afrika. Libyen, der von Sicherheitsexperten als sehr wahrscheinlich vermutete Aufenthaltsort, liegt allerdings nicht in dieser Zeitzone. Stewart bestätigte, dass in der Wurm-Angriff über einen Trojaner über das 3-Netzwerk eingeleitet wurde, aber hält England als Aufenthaltsort für zu unwahrscheinlich. "England und die USA haben gegenseitige Auslieferungsverträge - das Risiko für einen Hacker wäre einfach zu hoch", schätzt Stewart.

0 Kommentare zu diesem Artikel
1040089