Betreiber der gehackten FTP-Server sind laut Finjan unter anderem Firmen aus dem verarbeitenden Gewerbe, der Medien- und Online-Branche sowie dem Telekommunikationssektor. Um welche Unternehmen es sich konkret handelt, gab Finjan aus nachvollziehbaren Gründen nicht bekannt.

Selbst die Account-Daten von Systemen von IT-Sicherheitsfirmen finden sich nach Angaben von Ayelet Heyman, einm Mitarbeiter von Finjan, auf der ominösen Liste. In einem Fall hätten Angreifer sogar die Möglichkeit, eigene Dateien auf den Server eines Security-Unternehmens hochzuladen.

Angreifer können nicht nur Web-Seiten und Server angreifen (roter Bereich), sonderen mithilfe einer speziellen Anwendung Account-Daten weiterverkaufen (grüner Bereich).

Das Malicious-Code-Research-Center (MCRC) von Finjan stieß auf die Datenbank, als es eine Anwendung analysierte, die von Hackern eingesetzt wird. Sie dient dazu, sicherheitsrelevante Informationen an andere Cyberkriminelle weiterzuverkaufen.

Verkaufstool integriert

Das Tool teilt die gehackten FTP-Server nach Herkunftsland und Google-Page-Rank ein. Anhand dieser Daten wird der Preis für die Zugangsdaten festgelegt. Die technische Grundlage für den Datendiebstahl bildet das Toolkit »Neosploit 2«.

Besonders problematisch ist, dass Angreifer, die sich Zugang zu FTP-Servern verschafft haben, darauf lagernde Web-Seiten mit Schadcode infizieren können. Dazu dienen iFrame-Tags.

IT-Manager von Unternehmen können Finjan über diese Web-Seite kontaktieren und prüfen lassen, ob auch ihre Firma in der Datenbank zu finden ist. Details zur FTP-Attacke sind in der Februar-Ausgabe des Sicherheitsberichts von Finjan zu finden. Dieser steht nach Registrierung zum Download bereit.

Finjan ist ein Hersteller von Web-Gateways, die gegen Angriffe, wie die oben beschriebene, schützen. Das Unternehmen bietet drei Appliances an: das System NG-5100 zielt auf kleinere Firmen, das NG-6100 auf mittelständische Unternehmen mit bis zu 10.000 Internet-Usern. Das größte Modell NG-8100 ist für Großkonzerne vorgesehen.