Die neu entdeckte Hackergruppe GhostRedirector infiltriert Windows-Server weltweit und missbraucht sie für einen raffinierten SEO-Betrug – mit potenziell weitreichenden Folgen für Reputation und Suchmaschinen-Ranking.
Wer bei Google sucht, will seriöse Ergebnisse. Doch die neue Hackergruppe macht sich die wichtigste Suchmaschine der Welt zunutze, um manipulierte Websites nach oben zu bringen. Laut Forschern des europäischen IT-Sicherheitsherstellers ESET, die den Vorgang aufdeckte und die Angreifer als „GhostRedirector“ taufte, wurden mindestens 65 Windows-Server in Brasilien, Thailand und Vietnam kompromittiert. Weitere Server wurden in den USA, Peru, Kanada, Finnland, Indien, den Niederlanden, den Philippinen und Singapur missbraucht. Die Opfer stammen aus sehr unterschiedlichen Branchen wie dem Gesundheitswesen, aus der Bildung, von Versicherungen, aus der Logistik oder aus dem Retailhandel – ein breites, opportunistisches Angriffsmuster ohne gezielte Ausrichtung.
Die Angreifer setzen auf zwei bisher unbekannte Malware-Tools: Rungan, einen passiven C++-Backdoor, der über einfache HTTP-Befehle etwa neue Benutzerkonten anlegt oder beliebige Kommandos ausführt, sowie Gamshen, ein heimtückisches Modul für Microsofts IIS-Webserver. Gamshen dient gezielt SEO-Manipulation und aktiviert sich nur bei Anfragen von Googlebot, um manipulierte Antworten zu liefern – reguläre Website-Besucher merken nichts davon.
Gamshen manipuliert dabei das Google-Ranking: Durch gefälschte Backlinks von kompromittierten Seiten werden fremde, meist Glücksspiel-Websites gepusht – auf Kosten der Opferseiten, deren Glaubwürdigkeit und Sichtbarkeit leiden. Der erste Zugang erfolgt offenbar über SQL-Injektion, gefolgt von PowerShell-Downloads der Tools. Für Rechteerweiterung greifen die Täter auf bekannte Exploits wie EfsPotato und BadPotato zurück – so legen sie Administrator-Accounts an, um persistent Zugriff zu behalten, auch wenn einzelne Tools entfernt werden.
Aus China?
ESET stuft die Gruppierung als China-nahe Bedrohung ein – als Indizien gelten hartcodierte chinesische Strings, ein Code-Signing-Zertifikat einer chinesischen Firma sowie das Passwort „huang“ (“gelb”) für einen erstellten Benutzer. Im Vergleich: Ähnliche SEO-Angriffe durch China-nahe Gruppen wie DragonRank sind bekannt, doch ESET sieht bislang keine direkte Verbindung zu GhostRedirector – beide agierten wohl opportunistisch, ohne strategische Zielausrichtung.
„GhostRedirector kombiniert ausgefeilte Techniken mit bekannten Exploits. Die Gruppe hat Ressourcen und Know-how“, sagt ESET Forscher Fernando Tavella, der die Masche entdeckt hat. „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihre Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz. „GhostRedirector sei eine äusserst ausdauernde Hackergruppe und beweist hohe Widerstandsfähigkeit. „Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, erklärt Tavella.
GhostRedirector kombiniert technische Raffinesse mit konventionellen Exploits für eine gefährliche SEO-Betrugsmasche. Organisationen sollten Webserver auf unbekannte IIS-Module, ungewöhnliche Administrator-Konten oder verdächtige PowerShell-Logs prüfen – ein Whitepaper mit Empfehlungen liegt ESET vor. Langfristig gefährdet dieser Angriff die Integrität von Suchergebnissen und das Vertrauen in Onlinepräsenz.
Weitere Infos finden sich im Blog von ESET
