Citadel greift petrochemische Betriebe an

Immer häufiger kommt Finanz-Malware in zielgerichteten Attacken auf Schlüsselbranchen der Volkswirtschaft zum Einsatz. Das jüngste Beispiel für diesen Trend ist der Bank-Trojaner Citadel, dessen neue Variante Cyberkriminelle im Rahmen einer kürzlich durchgeführten Attacke auf petrochemische Betriebe im Nahen Osten einsetzten.

Laut Angaben der Experten von Trusteer (jetzt zu IBM gehörend), wurden diese APT-Attacken im Lauf der letzten zwei Monate durchgeführt. In den Netzen der angegriffenen Unternehmen entdeckten die Forscher umfunktionierte Versionen von Citadel. Der neu orientierte Schädling beobachtete völlig andere URL, beispielsweise Logins in die Unternehmenspost, er registrierte die eingegebenen Daten und schickte sie in sein Steuerungszentrum. Die gestohlenen Daten eröffneten den Angreifern Zugriff auf das elektronische Postfach des jeweiligen Angestellten oder Leiharbeiters des Unternehmens, d.h. sie waren in der Lage, seine Korrespondenz zu lesen, in seinem Namen Mails zu versenden und Phishing-Mitteilungen zu verbreiten, um tiefer in das Netzwerk des Opfers einzudringen.

Dana Tamir, Sicherheitschefin bei IBM Trusteer, erklärte, dass einer der größten Händler von Produkten der Erdölverarbeitung im Nahen Osten den Cyberkriminellen zum Opfer fiel sowie ein regionaler Rohstofflieferant für die petrochemische Industrie. Dabei gab sie weder Details zum Grad des Eindringens noch zu den Resultaten der Angriffe bekannt.

Zielgerichtete Cyberattacken auf Schlüsselbranchen der Wirtschaft sind keine Seltenheit, Chemie- und Energiebetriebe sowie die Rüstungsindustrie sind immer häufiger solchen Angriffen ausgesetzt. Allerdings benutzen die Hacker dabei in den meisten Fällen bereits fertige, massenhaft verbreitet Exploits, und sehr viel seltener Zero-Day-Exploits. Die Verwendung von Finanzschädlingen ist laut Tamir ein neuer, wachsender Trend; die Organisatoren von zielgerichteten Attacken werden in erster Linie von der weiten Verbreitung solcher fertigen Tools angezogen. Nach Einschätzungen von IBM ist aktuell einer von 500 Computern mit einer Schadsoftware infiziert, die in dem Unternehmen als „АРТ-Schädling“ bezeichnet wird.

„Wir bemerkten diese Tendenz erstmal vor ein paar Jahren, in Form einzelner Attacken“, erinnert sich Tamir. „Solche Vorfälle kamen nicht regelmäßig vor, aber wir erkannten darin eine gewisse Tendenz, die entwicklungsfähig ist. In der letzten Zeit nahm dieser Trend spürbar Fahrt auf.“

Wir erinnern daran, dass der Webservice Salesforce.com in der letzten Woche eine Warnung über mögliche Attacken von Dyre bzw. Dyreza veröffentlicht hat. Vor kurzem erweiterte der Bankentrojaner den Kreis seiner Ziele und nahm die Account-Daten von Salesforce-Usern ins Visier. Seine jüngsten Attacken stellen eine reale Gefahr für Business-Strukturen dar, da in der SaaS-Anwendung von Salesforce wichtige Finanzinformationen gespeichert werden, die sowohl für Konkurrenzunternehmen als auch für Schwarzmarkthändler von großem Wert sind.

Die Metamorphose eines Bank-Trojaners in einen „АРТ-Schädling“ ist kein Hexenwerk. Die Finanzschädlinge können sich mit einem Steuerungsserver verbinden, viele von ihnen treten in Verbindung mit einem Keylogger auf und verfügen über weitere Möglichkeiten, Informationen zu stehlen. Die von Trusteer entdeckte Citadel-Variante war mit einem Form-Grabber ausgestattet – einem Modul zum Diebstahl der in ein Webformular eingegebenen Daten, bevor diese der SSL-Verschlüsselung unterzogen werden. Banken-Trojaner verwenden zudem Web-Einschleusungen, die es ermöglichen, zusätzlichen HTML-Content in die Seiten zu integrieren, wie etwa gefälschte Warnungen oder eine Anfrage auf Eingabe der Anmeldedaten.

„Zunächst führten die Finanzschädlinge Man-in-the-Browser-Attacken durch, verfügten über die Funktionalität eines Keyloggers und einige andere grundlegende Funktionen, doch mit den Jahren wurden sie immer weiter vervollkommnet“, erläutert Tamir. Diese Trojaner sind äußerst raffiniert und in der Lage, die Erkennungsmechanismen zu umgehen. Ihr zweiter Vorteil liegt in ihrer weitreichenden Verbreitung. Sie werden aggressiv und massenhaft über schädliche Banner, Phishing-Mitteilungen, Drive-by-Downloads und andere Methoden zur massenhaften Verbreitung an eine größtmögliche Zahl von Rechnern verteilt. Wir sind in fast allen Organisationen auf solche Schädlinge gestoßen.“

„Solche Trojaner sind für sich genommen schon sehr komplexe Tools“, ergänzt die Chefin von Trusteer. „Um einen Bank-Trojaner in ein Werkzeug für eine АРТ-Attacke zu verwandeln, muss man ihm lediglich ein neues Ziel vorgeben, d.h. die Konfigurationsdatei aktualisieren, und schon sucht er sich neue Opfer.“

Quelle:        Security Intelligence

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.