Die Darkhotel-APT

Technical Appendix
PDF version

Ebenso wie die als „Crouching Yeti“ bezeichnete weltweite Cyber-Angriffswelle ist die Darkhotel-APT ein ungewöhnlich undurchsichtiger, ausdauernder und gut ausgestatteter Bedrohungsakteur, der eine seltsame Kombination von Charakteristika aufweist.

Diese APT greift ihre Opfer ganz präzise durch Spear-Phishing mit hochentwickelten Flash Zero-Day-Exploits an und umgeht auf diese Weise erfolgreich die neusten Abwehrmechanismen in Windows und Adobe, und andererseits infizieren die Angreifer auch völlig unpräzise eine große Zahl willkürlicher Opfer mit Hilfe von Peer-to-Peer-Verbreitungstaktiken. Hinzu kommt eine höchst ungewöhnliche Eigenschaft dieser Gruppe: Seit Jahren unterstützt die Darkhotel-APT die Fähigkeit, Hotelnetzwerke auszunutzen, um ausgewählten Opfern zu folgen und sie anzugreifen, wenn diese durch die Welt reisen. Bei diesen Reisenden handelt es sich meist um Führungskräfte aus den verschiedensten Branchen, die in der asiatisch-pazifischen Region Geschäfte machen und Outsourcing betreiben, unter anderem CEOs, Senior Vice Presidents, Vertriebs- und Marketingdirektoren sowie Spitzenkräfte aus dem Bereich Forschung- und Entwicklung. Dieses Eindringen in ein Hotelnetzwerk liefert den Angreifern präzisen weltumspannenden Zugriff auf hochrangige Ziele. Unseren Beobachtungen zufolge begann der höchste Level der Hotel-Netzwerk-Offensive im August 2010 und zog sich bis 2013, und wir ermitteln auch in einigen Hotel-Netzwerk-Fällen aus dem laufenden Jahr 2014.

Um p2p-Netzwerke zu verseuchen, die dann zu Masseninfektionen genutzt werden, delegitimieren die Angreifer außerdem Zertifikatsstellen, um so ihre Attacken voranzutreiben. Sie missbrauchen schwach implementierte digitale Zertifikate, um ihren Schadcode zu signieren. Auf diese Art wurde das Vertrauen von mindestens zehn Zertifikatsstellen missbraucht. Aktuell stehlen und verwenden die Verbrecher hinter dieser Bedrohung andere legitime Zertifikate, um ihre weitestgehend statische Backdoor und das Infostealer-Toolset zu signieren. Im Laufe der Zeit dehnt sich ihre Infrastruktur zudem aus und zieht sich dann wieder zusammen, ohne dass ein ersichtliches Muster dahinter zu erkennen wäre. Die Malware ist sowohl durch flexible Datenverschlüsselung als auch auffallend schlecht durch schwache Funktionen geschützt.

Die Opfer stammen aus den folgenden Bereichen:

  • Sehr große Elektronik-Hersteller
  • Investmentkapital und Privatkapital
  • Pharmazie
  • Kosmetische und chemische Produktion, Offshoring und Vertrieb
  • Automobilhersteller – Offshoring-Services
  • Automobilindustrie: Bauteile, Vertrieb, Verkauf und Services
  • Rüstungsindustrie
  • Strafverfolgungsbehörden und Militärdienste
  • Nicht-Regierungsorganisationen

Etwa 90 Prozent der Infektionen scheinen in Japan, Taiwan, China, Russland und Südkorea erfolgt zu sein, teilweise aufgrund der wahllosen Verbreitung der Malware. Insgesamt beträgt die Zahl der Infektionen seit dem Jahr 2008 mehrere Tausend. Die interessanteren reisenden Ziele sind Topmanager aus den USA und Asien, die in der asiatisch-pazifischen Region Geschäfte machen und Investitionen tätigen. Eine Kombination der Detektionen des Kaspersky Security Network (KSN) und der Command- und Control-Daten zeigten Infektionen in den USA, den Vereinigten Arabischen Emiraten, den Philippinen, in Honkong, Indien, Indonesien, Deutschland, Iran, Mexiko, Belgien, Serbien, im Libanon, in Pakistan, Griechenland, Italien und anderen Ländern. Die geografische Verteilung der Opfer dieser Bedrohung ist weit gestreut und viele signifikante Opfer reisen regelmäßig in und durch viele dieser Länder. So ändert sich die geografische Position der Opfer, während sie ständig unterwegs sind.

Als Experten von Kaspersky Lab den Orten, an denen sich Darkhotel-Vorfälle zugetragen haben, mit Honigtopf-Rechnern im Gepäck einen Besuch abstatteten, haben sie keine Darkhotel-Attacken provozieren können. Das lässt darauf schließen, dass die APT selektiv vorgeht.
Weitere Untersuchungen haben zudem gezeigt, wie sorgfältig die Angreifer vorgegangen sind, um ihre Aktivität zu verbergen – sobald ein Ziel infiziert worden war, löschten sie ihre Tools aus der Staging-Area des Hotel-Netzwerks, behielten aber einen verborgenen Status bei.

In den letzten paar Jahren wurde immer wieder häppchenweise etwas über die Aktivität von Darkhotel oder über die Bestandteile der Malware bekannt, aber wir konnten auch Darkhotel-Tools identifizieren, die in das Jahr 2007 zurückreichen. Unter Berücksichtigung der gut ausgestatteten, fortschrittlichen Exploit-Entwicklung und der umfassenden dynamischen Infrastruktur erwarten wir weitere Aktivität von Darkhotel in den kommenden Jahren. Unser Darkhotel-Bericht sowie die Anhänge mit den Indikatoren und technischen Details liefern einen stets aktuellen Überblick über die Aktivität dieses APT.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.