GlassRAT spioniert heimlich Konzern aus

Erst jetzt wurde ein trojanisches Fernwartungsprogramm entdeckt, nachdem es drei Jahre lang im Geheimen in zielgerichteten Attacken eingesetzt worden war. Auch jetzt noch wird es noch schwer von den meisten AV-Lösungen detektiert.

Der Trojaner mit dem Codenamen GlassRAT ist mit einem Zertifikat eines bekannten chinesischen Softwareherstellers signiert. Der Schädling wird zum Ausspionieren chinesischer Landsleute eingesetzt, die in kaufmännischen Unternehmen tätig sind, und er könnte mit anderen Schadkampagnen in Zusammenhang stehen, die bereits seit dem Jahr 2012 bekannt sind.

GlassRAT wurde von den Experten von RSA Security im Laufe der Untersuchung eines Cybervorfalls entdeckt, der sich früher im laufenden Jahr ereignet hatte. Laut Angaben von RSA war das Opfer des Trojaners ein Chinese, der in einem ausländischen „multinationalen Konzern“ arbeitet. Auf welche Weise die Infektion erfolgte, ist nicht vollständig geklärt; die Experten halten die Möglichkeit des zielgerichteten Phishings, eines Drive-by-Downloads oder eine andere, in solchen Fällen übliche Zustellung der Malware nicht für ausgeschlossen.

„Uns standen nur wenige Daten zur Analyse zur Verfügung, wir konnten lediglich eine spezifische Aktivität im Netz des multinationalen Unternehmens feststellen“, erzählt Kent Backman, der die Ermittlungen leitet. „Es handelte sich dabei um C&C-Traffic, der von einem Gerät über den Befehlsübermittlungskanal ausging. Auf der Empfangsseite untersuchte ein Teilnehmer dieses Austauschs das Netz, in dem sich der infizierte Laptop befand. All das sah sehr nach dem Abgreifen von Informationen aus; aller Wahrscheinlichkeit nach besteht darin auch die Hauptaufgabe dieses RAT-Trojaners.“

Das Hauptziel der Online-Kriminellen sind zum gegenwärtigen Zeitpunkt kommerzielle Organisationen, was sehr für Industriespionage spricht. Allerdings wurde früher ein Teil der Infrastruktur von GlassRAT gegen Ziele eingesetzt, deren Tätigkeit eher geopolitischen Charakter trägt.

„Wir sind geneigt zu glauben, dass – da die Auswahl der Ziele so schnell von geopolitischen auf kommerzielle umschwenkte – wir es jetzt offensichtlich mit einer anderen Abteilung einer großen Hackerorganisation zu tun haben, die bisher nur wenige Karten aus ihrem C&C-Stapel ausgespielt hat“, vermutet Backman.

Seinen Worten zufolge musste RSA, nachdem es die YARA-Signatur auf VirusTotal und andere Quellen hochgeladen hatte, mehrere Monate auf einen Treffer warten, um mit Sicherheit sagen zu können, dass die Infrastruktur von GlassRAT auch in Angriffen gegen die philippinische und mongolische Regierung verwendet wurde. Bei diesen Attacken wurden allerdings andere Schädlinge eingesetzt, und zwar Mirage (MirageRAT), magicFire und PlugX.

„Das sich überschneidende Zeitfenster bei gemeinsamer Nutzung der Infrastruktur erwies sich als vergleichsweise klein, was von einem möglichen technischen Versäumnis im Sicherheitssystem von GlassRAT zeugt, wenn die Betreiber nicht absichtlich eine gemeinsame Infrastruktur nutzen“, schreiben die Forscher in ihrem Bericht.

RSA gab den Namen des Unternehmens, dessen Zertifikat gestohlen wurde, nicht preis, das Sicherheitsunternehmen wies allerdings darauf hin, dass dieses Zertifikat mittlerweile zurückgerufen wurde. Die Cyberkriminellen benutzten es, um den Dropper zu signieren, der sich nach dem Download des Schädlings selbst löscht. Im Laufe der Installation von GlassRAT wird den Angaben der Experten zufolge ein Dialogfenster des Zertifikats angezeigt mit dem Namen einer Anwendung, die von einem in Peking ansässigen Softwarehersteller entwickelt wurde; laut Angaben von RSA wurde dieses legale Programm bereits von 500 Millionen Anwendern heruntergeladen.

„Wir können bestätigen, dass der Einsatz dieses Schädlings gegen den großen multinationalen Konzern große Auswirkungen hatte“, schlussfolgert Backman. „Er blieb über Jahre unentdeckt von Antiviren-Programmen, auch wenn die Chancen auf Entdeckung größer gewesen wären, wäre es umfassender verwendet worden.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.