Thema: Cryptome gehackt und mit Malware infiziert

[SiLæncer]

Cryptome ist gehackt und mit einer Schadsoftware infiziert worden. Der Schadcode hatte alle Seite das Angebotes befallen, das deshalb komplett wiederhergestellt werden musste.

Das Whistleblower-Angebot Cryptome ist gehackt worden und die Eindringlinge haben eine Schadsoftware installiert, die Nutzer auf eine weitere Webseite umleitet. Der Angriff sei bereits am 8. Februar 2012 erfolgt, aber erst am 12. Februar erkannt worden, schreiben die Betreiber um Gründer John Young.

Bei der Schadsoftware handelt es sich um das Blackhole Toolkit. Die Malware ist auf Windows-Rechner mit dem Internet Explorer von Version 6 bis 8 spezialisiert. In dem Browser wird dann ein I-Frame geöffnet, über den der Nutzer auf eine Webseite umgeleitet wird. Darüber kann Malware auf seinem Computer installiert werden. Die Angreifer hatten eine PHP-Schwachstelle ausgenutzt und sich so Schreibrechte auf dem Cryptome-Server gesichert.

Die Schadsoftware hat sich über alle Seiten des Angebots verbreitet. Cryptome hatte die HTML-Dateien untersucht. Dabei zeigte sich, dass jede der geprüften HTML-Dateien mit dem Script infiziert war. Das Angebot wurde deshalb komplett überarbeitet. Cryptome wollte die Wiederherstellung in der Nacht zum heutigen Dienstag abschließen.

Knapp 2.900 Nutzer sollen von der Schadsoftware betroffen sein. Das geht aus einem Unterverzeichnis hervor, das das Blackhole Toolkit auf der Website angelegt hatte. Darin waren 2.863 IP-Adressen verzeichnet. Das Verzeichnis sei gelöscht worden, erklärte Cryptome.

Quelle : www.golem.de

[SiLæncer]

Die Enthüllungsplattform Cryptome.org war kurzfristig für einen Tag offline. Cryptome ist auf die Veröffentlichung von Geheimdokumenten aller Art spezialisiert: vertrauliche Papiere von Firmen, Regierungen und Geheimdiensten. Für den Betreiber John Young ist Offenheit die oberste Maxime – kompromisslos und in alle Richtungen. Aufgrund dieser Haltung steht die Website immer wieder unter Beschuss. Im jüngsten Fall war die Ursache für den Ausfall eine Sperrung durch den Internet-Provider.

Vor einem Monat hatten Unbekannte die Site geknackt und den Server so manipuliert, dass er Malware auslieferte. Auch diesmal bestand wieder Malware-Verdacht – diesmal wohl aber zu Unrecht.

Nun teilte der IT-Manager einer Anwaltskanzlei dem Internet Service Provider sowie dem Betreiber von Cryptome per E-Mail mit, die Whistleblower-Site sei von Malware befallen. John Young beteuerte, viele der als Malware bezeichneten Dateien würden nicht einmal existieren; eine angeblich infizierte Datei sei nachweislich sauber. Kurz darauf nahm der Provider, Network Solutions, Cryptome vom Netz.

In einem Mail-Austausch mit dem IT-Manager beharrte dieser auf der Richtigkeit seines Malware-Funds. Daraufhin übertrug Young seine Daten auf einen anderen Server. Dem Betreiber zufolge ist der Umzug mittlerweile komplett vollzogen. Die Site ist bereits wieder online; die Suchfunktion aber vorübergehend deaktiviert.

Quelle : www.heise.de