Details zur Turla-Attacke in der Schweiz veröffentlicht

Seit dem Hacker-Angriff auf das Schweizer Technologieunternehmen RUAG, Auftragnehmer des Schweizer Verteidigungsministeriums, waren die Behörden des Landes mit Informationen zu der Attacke äußerst zurückhaltend. Erst am vergangenen Montag wurden Details bekannt, als das Schweizer CERT den Vorhang lüftete und berichtete, wie die Hacker ihre Angriffspläne umgesetzt haben.

Obgleich die Experten nicht sagten, welche Daten genau gestohlen wurden, beschreiben sie in ihrem öffentlichen Bericht die zielgerichtete Attacke mit einer außergewöhnlichen Ausführlichkeit. So wurde zum Beispiel festgestellt, dass die Cybergangster als wichtigstes Tool ein Schadprogramm aus der Familie Turla in Kombination mit anderen Trojanern und Rootkits verwendeten. Nach Einschätzung des CERT wurden die Computer von RUAG bereits im Jahr 2014 infiziert; die Hacker gingen dabei nicht hastig, aber konsequent und zielstrebig vor.

Die breite Öffentlichkeit erfuhr erst Anfang des laufenden Monats von diesem Vorfall. Der Verteidigungsminister der Schweiz, Guy Parmelin, hatte den Einbruch und Informationsdiebstahl schon etwas früher eingeräumt, auf dem Weltwirtschaftsforum im vergangenen Januar in Davos.

Dem Schweizer CERT zufolge handelte es sich bei dem Überfall auf den Rüstungslieferanten um einen Spionageakt. Die Verbrecher haben alles daran gesetzt, nicht entdeckt zu werden; die ersten Hacks gewährleisteten ihnen ein weiteres Vordringen in das Netzwerk. „Die Autoren der Attacke bewiesen große Ausdauer im Laufe des Eindringens und des Vorrückens in die Breite“, konstatieren die Experten. „Sie haben nur solche Ziele angegriffen, die sie interessieren, wobei sie unterschiedliche Mittel verwendeten, wie z.B. Listen von Ziel-IP und die Erstellung von Fingerprints vor und nach dem Ersteindringen.“

Nachdem sie sich Zugriff auf das Netz von RUAG verschafft hatten, begannen die Angreifer sich horizontal fortzubewegen, indem sie weitere Geräte infizierten und ihre Privilegien erhöhten. „Eins der Hauptziele war der Microsoft-Dienst Active Directory, der ihnen unter Verwendung der entsprechenden Privilegien und Gruppen-Policys die Möglichkeit eröffnete, die Kontrolle über andere Geräte und Zugriff auf die die Hacker interessierenden Daten zu erhalten“, schreiben die CERT-Vertreter in ihrem Bericht.

Den eingesetzten Werkzeugen nach zu urteilen ist die Attacke auf RUAG Teil der umfassenden APT-Kampagne Epic Turla, deren Hauptziel Regierungseinrichtungen, Botschaften und Militärbehörden sind. Die Initiatoren der Kampagne Epic Turla, die im Jahr 2014 detailliert von den Experten von Kaspersky Lab beschrieben wurde, setzen üblicherweise zielgerichtetes Phishing, Exploits für Windows und Adobe Reader sowie Wasserloch-Attacken mit Social-Engineering-Elementen ein.

In diesem Fall lud der Schädling die Zieldaten laut Angaben des CERT auf Drittserver und erhielt im Gegenzug Befehle zur Ausführung weiterer Aufgaben. Um nicht entdeckt zu werden, erstellten die Angreifer im Netz von RUAG eine ganze Hierarchie von Verbindungskanälen zwischen den infizierten Geräten. Einige Rechner in diesem primitiven Subnetzwerk erfüllten die Aufgaben von Routern, andere hatten keine Verbindung zum C&C und wurden als Arbeitsknoten verwendet.

Die Details zum Angriff auf RUAG unter Verwendung von Turla sind neues, wertvolles Material für Kaspersky Lab, da das Unternehmen diese Kampagne weiterhin im Auge behält. „Die Verwendung von BeEF und die mit Google Analytics zusammenhängende Aktivität bestätigt die Richtigkeit unserer Erkenntnisse, die wir in dem Bericht über Epic Turla dargelegt haben, und insbesondere die Tatsache, dass Turla eine Bewertung des angegriffenen Systems vornimmt, auf deren Grundlage zusätzliche Tools bereitgestellt werden“, kommentiert Kurt Baumgartner, Senior Security Researcher des IT-Sicherheitsunternehmens. Nach seinen Worten erstellen die Angreifer vor der Infektion einen komplexen Fingerabdruck, um sich davon zu überzeugen, dass das Zielsystem auch lohnend ist. Daraufhin organisieren sie eine Wasserloch-Attacke, indem sie Redirects einschleusen.

„Eine Wasserloch-Attacke besteht in der Umleitung auf eine schädliche Website“, erklären ihrerseits die Schweizer. „Die Umleitungen können dabei unterschiedlich sein, zu diesem Zweck können Kurzlinks eingesetzt werden, aber auch JavaScript, das als Google Analytics-Szenario getarnt ist. Die schädliche Site gleicht die IP-Adresse des Opfers mit einer Liste von Zielen ab und gibt bei Übereinstimmung das Skript zur Erstellung des Fingerabdrucks zurück.“

Dieses Resultat wird an denselben Server gesendet und daraufhin manuell geprüft. Wenn der Rechner für die Angreifer von Interesse ist, infizieren sie ihn, indem sie ein Exploit oder Social Engineering einsetzen. „Der nächste Schritt ist die Durchführung eines komplexeren Szenarios zur Erstellung eines Fingerabdrucks“, schreiben die CERT-Mitglieder weiter. „Das entsprechende Skript versucht, so viele Informationen wie möglich über das Opfer zusammenzutragen, mit Hilfe von JavaScript, das aus dem Browser Exploitation Framework (BeEF) entnommen wurde.

Laut Baumgartner ist das einzigartige Instrumentarium, das im Rahmen von Epic Turla zum Eindringen ins Netz verwendet wird, wesentlich komplexer als einige Tools, die die Angreifer benutzen, wenn sie sich innerhalb des Netzes befinden. Ihr weiteres Vordringen hat – wenn es auch effektiv ist – nichts mehr von dem Einfallsreichtum, den sie bei der Suche nach dem Eintrittspunkt an den Tag legen. Um sich im angegriffenen Netzwerk auszubreiten, benutzen die Hacker verschiedene öffentlich zugängliche Tools: Mimikatz, Pipelist, Psexec, Dsquery, ShareEnum.

Die Mitglieder des Schweizer CERT spekulieren bewusst nicht über die möglichen Autoren der Attacke. „Erstens ist es praktisch unmöglich, glaubwürdige Belege zu finden“, erklären sie in ihrem Bericht. „Zweitens sind wir der Meinung, dass das auch gar nicht so wichtig ist: Leider verwenden viele Kriminelle Schädlinge und dringen in Netzwerke ein, um ihre Pläne umzusetzen.“

Co-Autor des CERT-Berichts ist die Schweizer Melde- und Analysestelle Informationssicherung, MELANI, die mit der Umsetzung der „Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken“ beauftragt ist.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.