Entwicklung der IT-Bedrohungen im zweiten Quartal 2017

Inhalt

Zielgerichtete Attacken und Malware-Kampagnen

Zurück in die Zukunft: Die Suche nach der Verbindung zwischen alten und neuen APTs

In diesem Jahr wurden auf dem Security Analyst Summit (SAS) interessante Untersuchungsergebnisse zu verschiedenen zielgerichteten Angriffskampagnen vorgestellt. Die Forscher von Kaspersky Lab und dem King’s College London präsentierten ihre Erkenntnisse über eine mögliche Verbindung zwischen Moonlight Maze, einer 20 Jahre alten Cyberspionage-Attacke, die sich gegen das Pentagon, die NASA und andere richtete, und Turla, einer sehr modernen APT-Gruppe.

Aktuelle Berichte über Moonlight Maze beschreiben, wie Netzwerke der US-Armee und der US-Regierung sowie Universitäten, Forschungseinrichtungen und sogar das Energieministerium der Vereinigten Staaten beginnend mit dem Jahr 1996 immer wieder Sicherheitslücken in ihren Systemen entdeckten. Das FBI und das US-Verteidigungsministerium starteten im Jahr 1998 intensive Ermittlungen. Doch obwohl die Geschichte im darauffolgenden Jahr publik wurde, blieb ein Großteil der Beweismittel geheim, so dass die Einzelheiten von Moonlight Maze immer von einem Schleier des Mysteriösen und Geheimnisvollen umgeben waren. Im Laufe der Jahre haben aber verschiedene Forscher immer wieder behauptet, Moonlight Maze habe sich zu Turla weiterentwickelt.

Während der Recherche für sein Buch Rise of the Machines im Jahr 2016 machte Thomas Rid vom King’s College London einen früheren Systemadministrator einer Organisation ausfindig, deren Server von den Angreifern hinter Moonlight Maze als Proxy gekapert wurde. Dieser Server, „HRTest“, wurde benutzt, um die Angriffe auf die Vereinigten Staaten anzuzetteln. Der IT-Profi, der jetzt im Ruhestand ist, hat den Originalserver aufbewahrt sowie Kopien von allem, was mit diesen Angriffen in Verbindung steht, und sie zur weiteren Analyse an das King’s College und an Kaspersky Lab weitergegeben. Die Forscher von Kaspersky Lab, Juan Andres Guerrero-Saade und Costin Raiu, haben gemeinsam mit Thomas Rid und Danny Moore vom King’s College im Laufe von neun Monaten eine detaillierte technische Analyse dieser Samples durchgeführt. Sie haben die Operationen, Tools und Techniken rekonstruiert und parallele Ermittlungen durchgeführt, um herauszufinden, ob sie die behauptete Verbindung zu Turla nachweisen können.

Bei Moonlight Maze handelte es sich um eine Unix-basierte Open-Source-Attacke auf Solaris-Systeme, und die Untersuchungsergebnisse zeigen, dass sie sich eine auf LOKI2 (ein im Jahr 1996 veröffentlichtes Programm, das es dem Nutzer ermöglicht, Daten über verdeckte Kanäle abzuziehen) basierende Backdoor zunutze gemacht hat. Das veranlasste die Forscher dazu, einen erneuten Blick auf einige der wenigen von Turla verwendeten Linux-Samples zu werfen, die Kaspersky Lab im Jahr 2014 entdeckt hat. Diese Samples, die auf den Namen Penguin Turla getauft wurden, basieren ebenfalls auf LOKI2. Überdies ergab die erneute Analyse, dass die Samples ausnahmslos alle Code verwenden, der zwischen 1999 und 2004 geschrieben wurde.

Bemerkenswerterweise werden wir immer mal wieder mit Angriffen konfrontiert, die noch immer diesen Code benutzen. Im Jahr 2011 wurde er in freier Wildbahn bei einer Attacke auf den Schweizer Rüstungskonzern Ruag beobachtet, der Turla zugeschrieben wurde. Jetzt, im März 2017, entdeckten die Forscher von Kaspersky Lab ein neues Sample der Penguin Turla-Backdoor, das von einem System in Deutschland abgesetzt wurde. Es ist möglich, dass Turla diesen alten Code für Angriffe auf hochgeheime Ziele benutzt, die mit Hilfe des gewöhnlicheren Windows-Toolsets schwerer zu knacken sind.

Die neu ausgegrabenen Moonlight Maze-Samples offenbaren viele faszinierende Details darüber, wie die Angriffe mit Hilfe eines komplexen Proxy-Netzwerkes durchgeführt wurden und über welche Fähigkeiten die Angreifer verfügen. Sie belegen auch die hohe Qualität der von den Cybergangstern verwendeten Tools.

Hat sich nun also Moonlight Maze zu Turla weiterentwickelt? Zum gegenwärtigen Zeitpunkt lässt sich das nicht mit Bestimmtheit sagen. Der nächste Schritt konzentriert sich auf eine recht unbekannte Operation mit der Bezeichnung „Storm Cloud“: das entwickelte Tool, das die Betreiber von Moonlight Maze benutzten, nachdem das erste Einschleusen im Jahr 1999 publik geworden war. Die Geschichte von Storm Cloud wurde im Jahr 2003 ohne großes Getöse bekannt. Doch einige wegweisende Details führten uns zu der Annahme, dass diese Angriffskulisse eine klarere Antwort geben könnte.

Mehr Informationen zu dieser Untersuchung finden Sie hier.

Lazarus enthüllt

Im Februar 2016 versuchte eine (zu dem Zeitpunkt nicht identifizierte) Gruppe von Hackern, 851 Millionen US-Dollar zu stehlen – und schaffte es immerhin, 81 Millionen US-Dollar von der Central Bank of Bangladesh abzuheben. Damit verübte sie den größten und erfolgreichsten Cyber-Banküberfall aller Zeiten. Von Kaspersky Lab und anderen durchgeführte Ermittlungen ergaben, dass die Angriffe mit an Sicherheit grenzender Wahrscheinlichkeit auf das Konto von Lazarus gehen, einer berüchtigten Cyberspionage- und Sabotage-Gruppe, die auch für den Angriff auf Sony Pictures im Jahr 2014 verantwortlich ist, sowie seit dem Jahr 2009 für Attacken auf Produktionsunternehmen, Medien und Finanzinstitutionen in mindestens 18 Ländern rund um den Globus.

Aufgrund unserer Untersuchungen der Angriffe dieser Gruppe auf Finanzinstitutionen in Südostasien und Europa konnten wir einen Einblick in den Modus Operandi der Lazarus-Gruppe bekommen.

Typischerweise kommt es zur ersten Kompromittierung, wenn ein einzelnes System innerhalb einer Bank geknackt wird, entweder indem ein Unternehmensserver kompromittiert wird oder mit Hilfe einer Wasserloch-Attacke, das heißt also, indem Exploit-Code auf einer legitimen Webseite platziert wird, die von den Mitarbeitern der anzugreifenden Institution besucht wird. Daraufhin verlegen sich die Angreifer auf andere Hosts innerhalb der Organisation und installieren eine rudimentäre Backdoor auf den infizierten Computern. Die Gruppe identifiziert nun die Ressourcen innerhalb der Organisation, die für sie von Wert sind. Das kann Tage oder sogar Wochen dauern. Schließlich stellen die Angreifer eine spezielle Malware bereit, die entwickelt wurde, um die internen Sicherheitslösungen zu umgehen und illegale Banktransaktionen durchzuführen.

Die Lazarus-Gruppe ist rund um den Globus aktiv: Wir haben in den letzten Jahren von Lazarus verwendete Einschleusungs-Tools in zahlreichen Ländern gefunden.

Die Lazarus-Gruppe ist sehr groß und traditionell auf Cyberspionage und Cybersabotage spezialisiert. Das Interesse der Gruppe an finanziellen Gewinnen ist recht neu und es scheint, als sei ein anderes Team innerhalb von Lazarus für das Generieren illegaler Einnahmen verantwortlich: Wir haben dieses Team Bluenoroff genannt. Bisher konnten wir vier Haupt-Zieltypen identifizieren: Finanzinstitutionen, Kasinos, Unternehmen, die Software für den Finanzhandel entwickeln, sowie Firmen aus dem Bereich Krypto-Währungen.

Eine der bemerkenswertesten Kampagnen von Bluenoroff waren die Angriffe auf Finanzeinrichtungen in Polen. Die Angreifer schafften es, eine Regierungswebseite zu hacken, auf die regelmäßig von vielen Finanzinstitutionen zugegriffen wird – was sie zu einem besonders mächtigen Angriffsvektor machte.

Die Lazarus-Gruppe unternimmt große Anstrengungen, um ihre Spuren zu verwischen. Einer unserer Ermittlungspartner machte im Rahmen einer forensischen Analyse eines Command-and-Control-Servers (C2) in Europa, der von der Gruppe benutzt wurde, allerdings trotzdem eine interessante Entdeckung. Seinem Bericht über die forensische Analyse zufolge haben sich die Angreifer offensichtlich via Terminal Services mit dem Server verbunden und mit Hilfe eines lokalen Browsers manuell einen Apache-Tomcat-Server installiert, ihn mit Java Server Pages konfiguriert und das JSP-Skript für den C2 hochgeladen. Nachdem der Server fertig war, begannen die Angreifer ihn zu testen – zunächst mit einem Browser, dann, indem sie Testinstanzen ihrer Backdoor ausführten. Sie verwendete zahlreiche IPs – von Frankreich bis Korea, mit Verbindungen via Proxies und VPN-Server. Doch eine kurze Verbindung wurde von einem sehr ungewöhnlichen IP-Bereich hergestellt, der aus Nordkorea stammt. Die Angreifer installierten auch eine Standardsoftware zum Schürfen von Kryptowährung, die Monero-Coins generieren sollte: Diese Software hat so massiv Ressourcen verbraucht, dass das System nicht mehr reagierte und abstürzte. Das könnte auch der Grund dafür sein, dass es nicht korrekt gesäubert wurde und die Server-Logs bewahrt wurden. Doch auch wenn die Verbindung nach Nordkorea interessant ist, können wir nicht automatisch davon ausgehen, dass Nordkorea hinter all den Bluenoroff-Attacken steckt: Irgendjemand in Nordkorea könnte aus Versehen den C2-Server besucht haben oder es könnte sich hier um eine absichtlich gelegte falsche Fährte handeln.

Lazarus ist nicht nur irgendeine APT-Gruppe von vielen. Das Aktivitäts-Spektrum der Lazarus-Gruppe ist erschreckend breit: Es scheint so, als betreibe Lazarus eine Malware-Fabrik, in der neue Tools entwickelt und alte „verbrannt“ werden. Die Gruppe setzte verschiedene Techniken zur Code-Obfuskation ein, schreibt ihre eigenen Algorithmen um, wendet kommerziellen Software-Schutz an und benutzt ihre eigenen und illegale Packer. Typischerweise schleust die Gruppe in der ersten Infektionsphase rudimentäre Backdoors ein. Werden diese „verbrannt“, tut es der Gruppe nicht allzu sehr weh. Wenn die Backdoor aus der ersten Phase aber eine interessante Infektion meldet, so stellen sie raffiniertere Software bereit und schützen diese sorgfältig vor zufälliger Entdeckung auf der Festplatte: Der Code ist in ein DLL-Ladeprogramm gewickelt oder in einem verschlüsselten Container gespeichert oder aber er ist in einem binär verschlüsselten Register-Wert versteckt. Üblicherweise erscheint die Software zusammen mit einem Installationsprogramm, das nur die Angreifer benutzen können, da es mit einem Passwort geschützt ist. Dadurch wird garantiert, dass automatisierte Systeme – sei es in einer öffentlichen Sandbox oder in einer Forschungsumgebung – nie die echte Payload zu sehen bekommen. Dieser Grad an Raffinesse ist nicht die Regel im Cyberkriminellen-Milieu und macht strikte Organisation und Kontrolle auf allen Etappen der Operation erforderlich. Das erklärt auch, warum sich die Gruppe aufgespalten und sich ein Teil von ihr auf das Generieren illegaler Einnahmen verlegt hat – Operationen dieser Art kosten eine Unmenge Geld.

Der beste Schutz vor zielgerichteten Attacken ist ein vielschichtiger Ansatz, der traditionelle Anti-Viren-Technologien und Patch-Management, Host Intrusion Detection und eine Default-Deny-Whitelisting-Strategie in sich vereint. Laut einer Studie des Australian Signals Directorate können 85 Prozent aller analysierten zielgerichteten Attacken durch die Anwendung von vier einfachen Vermeidungsstrategien gestoppt werden: Einsatz von Weißen Listen für Anwendungen, Aktualisieren von Anwendungen, Aktualisieren des Betriebssystems und Einschränken von administrativen Rechten.

Den vollständigen Bericht von Kaspersky Lab über die Aktivitäten der Lazarus-Gruppe finden Sie hier.

Gegen die Bank gewinnen

Auf dem diesjährigen Security Analyst Summit stellten zwei unserer Experten, Sergey Golovanov und Igor Soumenkov, drei Fälle vor, in denen es Cyberverbrechern gelungen ist, Geld von Bankautomaten zu stehlen.

Im ersten Fall – ATMitch – wurde zu diesem Zweck die Infrastruktur der Bank kompromittiert, um den Betrieb des Geldautomaten aus der Ferne zu kontrollieren. Die Angreifer nutzten eine ungepatchte Sicherheitslücke aus, um in die Server der Zielbank einzudringen. Die Angreifer verwendeten Open-Source-Code und öffentlich verfügbare Tools, um die Computer in der Bank zu infizieren. Die von ihnen geschaffene Malware siedelte sich allerdings nur im Speicher an, nicht auf den Festplatten, und fast alle Spuren des Schadprogrammes wurden mit einem Neustart des Computers entfernt. Nach der Infektion stellten die Angreifer eine Verbindung zu ihrem C2-Server her, die es ihnen ermöglichte, aus der Ferne Malware auf den Geldautomaten zu installieren. Da dieser Vorgang wie ein legitimes Update wirkte, löste er bei der Bank keinen Alarm aus. Das auf diese Weise installierte Schadprogramm suchte nun nach der Datei „command.txt“, die die aus einem Einzelzeichen bestehenden Befehle enthält, die den Bankautomaten kontrollieren. Zunächst gibt das Schadprogramm einen Befehl, um herauszufinden, wie viel Geld sich in dem Automaten befindet. Daraufhin gibt es den Befehl zur Ausgabe des Geldes, das dann von einem Geldesel eingesammelt wird, der an dem Geldautomaten wartet. Dann schreibt die Malware alle Informationen über die Operation in die Logdatei und löscht den Inhalt von „command.txt“.

Aufmerksam auf das Schadprogramm wurden die Mitarbeiter der Bank schließlich aufgrund einer einzelnen Datei mit der Bezeichnung „kl.txt“. In der Annahme, sie hätte etwas mit Kaspersky Lab zu tun, rief uns die Bank an und bat uns in diesem Fall zu ermitteln. Wir erstellten eine YARA-Regel, um unser System nach dieser Datei zu durchsuchen und entdeckten etwas, was uns schon zwei Mal begegnet war – einmal in Russland und einmal in Kasachstan. Daher waren wir in der Lage, die Malware rückzuentwickeln und zu verstehen, wie die Attacke funktioniert.

Die Ermittlungen in einem der anderen beiden Banküberfälle begannen ebenfalls mit einer Anfrage der Bank. Geld war verschwunden, aber die Logs der Geldautomaten waren sauber und die Verbrecher hatten die Überwachungskameras überklebt, so dass die Angriffe nicht aufgezeichnet wurden. Die Bank brachte den Geldautomaten in unser Büro und nachdem wir ihn auseinandergenommen hatten, entdeckten wir, dass ein Bluetooth-Adapter an den USB-Hub des Geldautomaten angeschlossen war. Die Räuber hatten einen Bluetooth-Adapter an den Automaten angeschlossen und drei Monate lang gewartet, um die Log-Datei zu säubern. Dann kehrten sie zu dem Automaten zurück, deckten die Überwachungskameras ab und verwendeten eine Bluetooth-Tastatur, um den Geldautomaten im Servicemodus neu zu starten und leerten den Bankomaten dann aus.

Ein weiterer Angriff, dessen Ermittlungen – wie die bereits beschriebenen – auch damit begannen, dass die Bank Kaspersky Lab um Mithilfe bei der Aufklärung eines Geldautomatenraubes bat, erwies sich in der Vorgehensweise als sehr viel primitiver. Wir fanden ein im Durchmesser etwa vier Zentimeter großes Loch in der Nähe des Eingabefeldes. Kurze Zeit darauf hörten wir von ähnlichen Angriffen in Russland und in Europa. Als die Polizei einen Verdächtigen mit einem Laptop und Verkabelung festnahm, wurden die Dinge klarer. Wir nahmen den Geldautomaten auseinander, um herauszufinden, an was die Angreifer durch das Loch herankommen wollten. Wir fanden einen 10-PIN-Stecker, der mit einem Bus verbunden war, der alle Komponenten des Geldautomaten miteinander verbindet. Außerdem stießen wir auf eine sehr schwache Verschlüsselung, die problemlos geknackt werden konnte. Jeder einzelne Teil des Bankomaten konnte benutzt werden, um alle anderen zu kontrollieren. Und da es zwischen den Teilen keine Authentifizierung gab, konnte jedes von ihnen ausgetauscht werden, ohne dass die anderen es bemerkten. Es kostete uns etwa 15 US-Dollar und ein wenig Zeit, um eine simple Schaltplatte zu basteln, die den gesamten Geldautomaten kontrollierte, nachdem wir sie mit dem seriellen Bus verbunden hatten. Das schließt auch die Ausgabe von Bargeld ein.

Die Experten betonten, dass es keinesfalls einfach ist, dieses Problem zu lösen. Um die Lücke zu schließen, ist ein Hardware-Update erforderlich, das nicht aus der Ferne durchgeführt werden kann: Ein Techniker muss alle betroffenen Geldautomaten aufsuchen und das Update installieren.

Mehr über diese Vorfälle finden Sie hier.

Willkommen bei den Lamberts

Im April veröffentlichte Kaspersky Lab einen Bericht über einen fortschrittlichen Bedrohungsakteur, der bezüglich seiner Komplexität durchaus mit Duqu, Equation, Regin oder ProjectSauron auf eine Stufe zu stellen ist. Die Sicherheitscommunity wurde erstmals im Jahr 2014 auf diese Gruppe aufmerksam, die wir auf den Namen „The Lamberts“ getauft haben (die aber auch als „Longhorn“ bekannt ist). Damals deckten die Forscher von FireEye eine Attacke auf, die eine Zero-Day-Sicherheitslücke (CVE-2014-4148) ausnutzte. Im Rahmen dieser Attacke wurde Malware eingesetzt, die wir „Black Lambert“ nennen, um hochprominente Organisationen in Europa anzugreifen.

Die Gruppe hat raffinierte Angriffstools entwickelt und sie mindestens seit 2008 gegen ihre Opfer zum Einsatz gebracht, unter anderem Netzwerk-gesteuerte Backdoors, verschiedene Generationen modularer Backdoors, Ernte-Tools und schädliche Löschprogramme. Die jüngsten Samples wurden im Jahr 2016 erstellt. Aktuell gibt es bekannte Versionen für Windows und Mac OS X. Berücksichtigt man die Komplexität dieses Projekts sowie die Tatsache, dass es auch ein Implantat für OS X gibt, halten wir es allerdings für überaus wahrscheinlich, dass es auch andere Lamberts für andere Plattformen gibt, wie zum Beispiel Linux.

White Lambert läuft im Kernelmodus und fängt den Netzwerk-Traffic auf infizierten Maschinen ab. Das Schadprogramm entschlüsselt speziell erstellte Pakete, um die Anweisungen herauszuziehen. In Abgrenzung zu den aktiven „Black Lambert“-Backdoors haben wir diese passiven Backdoors „White Lambert“ genannt.

Später stießen wir auf eine andere Generation der Malware, die wir „Blue Lambert“ nannten.

Eins dieser Samples ist deshalb interessant, weil es offensichtlich auf der zweiten Etappe eines Angriffs auf ein prominentes Ziel verwendet wurde, bei dem auch Black Lambert zum Einsatz kam.

Bei den Samples der Familie „Green Lambert“ handelt es sich um leichtere, verlässlichere, aber ältere Versionen von Blue Lambert. Während die meisten Varianten von Blue Lambert Versionsnummern im Bereich von 2.x haben, sind die meisten Green-Lambert-Samples 3.x-Versionen. Das steht im Kontrast zu den Daten, die die Export-Zeitstempel und die C2-Domain-Aktivität hergeben, denn diese weisen darauf hin, dass Green Lambert deutlich älter als Blue Lambert ist. Vielleicht wurden die Blue- und Green-Versionen parallel von zwei unterschiedlichen Teams entwickelt, die unter demselben Dach arbeiten, wie bei normalen Software-Iterationen, wobei eine früher als die andere bereitgestellt wird.

Die für Green Lambert (Windows) erstellten Signaturen wurden auch auf einer Green-Lambert-Variante für OS X ausgelöst, mit einer sehr niedrigen Versionsnummer, und zwar 1.2.0. Diese wurde im September 2014 auf einen Multi-Scanner-Service hochgeladen. Die Green-Lambert-Variante für OS X ist in vielerlei Hinsicht funktional identisch mit der Windows-Version, aber bestimmte Funktionalitäten fehlen, wie zum Beispiel die Möglichkeit, Plug-ins direkt im Speicher laufen zu lassen.

Kaspersky Lab hat Blue, Black und Green Lamberts nur bei einer relativ kleinen Auswahl von Opfern auf der ganzen Welt gefunden. Während unserer Ermittlungen in einem dieser Infektionsfälle, in den White Lambert (Netzwerk-gesteuertes Implantat) und Blue Lambert (aktives Implantat) verwickelt waren, stießen wir auf eine weitere Tool-Familie, die ebenfalls damit zusammenzuhängen scheint. Wir haben diese neue Familie „Pink Lambert“ getauft.

Das Toolset von Pink Lambert umfasst ein leitendes Implantat, ein USB-Erntemodul und ein plattformübergreifendes Framework, mit dessen Hilfe Betriebssystem-unabhängige Malware entwickelt werden kann. Versionen dieses Frameworks wurden bei anderen Opfern gefunden, zusammen mit White-Lambert-Samples, was auf eine enge Verbindung zwischen den Familien White und Pink Lambert hindeutet.

Bei unserer Suche nach weiterer unentdeckter Malware bei den Opfern von White Lambert stießen wir auf eine weitere, vermutlich auch verwandte Familie. Bei der neuen Familie, die wir „Gray Lambert“ nannten, handelt es sich um die neuste Iteration passiver Netzwerk-Tools aus dem Lambert-Arsenal. Der Programmierstil von Gray Lambert ähnelt dem des USB-Erntemoduls von Pink Lambert. Die Funktionalität allerdings spiegelt die von White Lambert wider. Im Gegensatz zu White Lambert läuft Gray Lambert im Benutzermodus, und es besteht nicht die Notwendigkeit, einen angreifbaren signierten Treiber auszunutzen, um willkürlichen Code auf 64-Bit-Windowssystemen auszuführen.

Verbinden wir alle diese verschiedenen Familien aufgrund ihres gemeinsamen Codes, gemeinsamer Datenformate, C2-Server und Opfer, kommen wir zu dem folgenden allumfassenden Bild:

Die Entwicklung des Lamberts-Toolkits erstreckte sich über mehrere Jahre, wobei der Höhepunkt der Aktivität in die Jahre 2013 und 2014 fiel.

Das Toolkit umfasst höchst raffinierte Malware, die auf hochrangigen Techniken basiert – zum Ausspionieren des Netzwerk-Traffics und zum Ausführen von Plug-ins im Speicher, ohne dass die Festplatte berührt und Exploits für signierte Treiber benutzt werden müssen, um unsignierten Code auf 64-Bit-Windowssystemen auszuführen.

Um die Professionalität der Angreifer hinter dem Lamberts-Toolkit weiter zu veranschaulichen, hier ein weiterer Fakt: Die Bereitstellung von Black Lambert beinhaltete ein recht ausgefeiltes TTF-Zero-Day-Exploit, CVE-2014-4148. Unter Berücksichtigung dieser Tatsache stufen wir die Lamberts hinsichtlich ihrer Komplexität auf demselben Niveau wie Duqu, Equation, Regin oder ProjectSauron ein – das heißt, es handelt sich um eins der raffiniertesten Cyberspionage-Toolkits, das wir je analysiert haben.

In den allermeisten Fällen ist die Infektionsmethode unbekannt, daher bleiben noch viele Details zu diesen Attacken und zu den Hintermännern ungeklärt.

Weitere Informationen über die Lamberts finden Sie hier.

Die einzige effektive Art, solche Bedrohungen abzuwehren, besteht in der Anwendung eines vielschichtigen Sicherheitsansatzes, mit Sensoren, die selbst die geringsten Anomalien im organisatorischen Arbeitsablauf registrieren, kombiniert mit Threat Intelligence und forensischer Analyse.

Wir werden die Aktivitäten der Lamberts weiter im Auge behalten, ebenso wie die anderer Gruppen, die sich auf zielgerichtete Attacken spezialisiert haben. Wenn Sie unsere APT Intelligence Reports abonnieren, erhalten Sie in Echtzeit Zugriff auf unsere Ermittlungen und Ermittlungsergebnisse, inklusive umfassender technischer Daten.

Malware-Stories

Noch mehr angreifbare „Internet der Dinge“-Dinge

Hacker greifen Geräte an, die zunehmend das Internet der Dinge (IoT) bilden. Eins der dramatischsten Beispiele hierfür ist das Mirai-Botnet, das einen Teil des Internets im Oktober 2016 außer Gefecht setzte, indem es mit dem Internet verbundene Heimgeräte kaperte (wie zum Beispiel digitale Videorekorder, Überwachungskameras und Drucker).

In unseren Prognosen für 2017 nahmen wir an, dass Internet-Vigilanten ebenfalls IoT-Geräte angreifen könnten, um auf den eklatanten Sicherheitsmangel in einigen IoT-Geräten aufmerksam zu machen – und dabei möglicherweise so weit gehen würden, Geräte in nutzlose Hüllen zu verwandeln. Nun haben wir Berichte über IoT-Malware publiziert (hier und hier), die genau zu diesem Zweck entwickelt wurde.

Im April veröffentlichten wir eine Analyse des Hajime-Botnets. Diese Malware, über die Rapidity Networks im Oktober 2016 erstmals berichtete, infiziert unsichere IoT-Geräte, die offene Telnet-Ports und Standard-Passwörter verwenden. Hajime ist ein riesiges Peer-to-Peer-Botnet, das zu dem Zeitpunkt, zu dem wir unseren Bericht veröffentlicht haben (25. April), etwa 300.000 Geräte umfasste. Die Malware wird ständig weiterentwickelt, Funktionen werden hinzugefügt, andere entfernt. Der verblüffendste Aspekt von Hajime ist seine Bestimmung. Das Botnet wächst, teilweise aufgrund neuer Ausnutzungsmodule. Aber sein Zweck und seine Bestimmung bleiben unbekannt. Bisher wurde es nicht für schädliche Aktivität benutzt. Möglicherweise wird das auch nie der Fall sein, denn jedes Mal, wenn eine neue Konfigurationsdatei heruntergeladen wird, wird ein Stückchen Text angezeigt, während die neue Konfiguration verarbeitet wird:

Doch selbst wenn es nicht absichtlich Schaden zufügt, könnte es sich negativ auf den normalen Betrieb eines infizierten Gerätes auswirken.

Wie andere Malware für IoT-Geräte auch nutzt Hajime die Tatsache aus, dass viele Leute das ab Werk voreingestellte Passwort nicht ändern, wenn sie sich ein intelligentes Gerät anschaffen. Das macht es Angreifern leicht, auf das Gerät zuzugreifen – sie müssen lediglich das bekannte Standard-Passwort ausprobieren. Außerdem gibt es für viele Geräte keine Firmware-Updates. IoT-Geräte sind auch deshalb ein attraktives Ziel für Cyberkriminelle, weil sie häufig rund um die Uhr an sieben Tagen in der Woche mit dem Internet verbunden sind.

Heutzutage sind wir umgeben von smarten Geräten. Dazu gehören alltägliche Haushaltsgeräte wie Telefone, Fernseher, Thermostate, Kühlschränke, Babyphones, Fitness-Armbänder und sogar Kinderspielzeug. Doch auch Autos, medizinische Ausrüstung, Überwachungskameras und Parkautomaten zählen dazu. Jetzt können wir auch Drohnen der Liste hinzufügen.

Auf dem Security Analyst Summit demonstrierte der Sicherheitsexperte Jonathan Andersson, wie ein begabter Angreifer ein Gerät bauen kann, um eine Drohne innerhalb von Sekunden anzugreifen. Er verwendete ein Software Defined Radio (SDR), eine Drohnen-Fernsteuerung, einen Microcomputer und zusätzliches elektronisches Equipment, um ein solches Gerät zu bauen, das er „Icarus“ nannte. Er verwendete das Gerät, um die Frequenz der Drohne zu justieren, die sie benutzt, um mit der Steuerung zu kommunizieren und experimentierte so lange, bis er verstand, wie genau die Signale zwischen den Geräten übertragen werden.

Andersson erklärte, dass diese Bedrohung die gesamte Drohnen-Industrie potenziell beeinflussen könnte – von billigem Spielzeug bis hin zu teuren, professionellen Produktionen –, da Drohnen und Steuereinheiten Datenübertragungsprotokolle verwenden, die gegenüber derselben Angriffsart verwundbar sind. Auch wenn stärkere Verschlüsselung das Problem beseitigen könnte, ist es nicht so einfach, da viele Controller keine Softwareupdates unterstützen. Starke Verschlüsselung erfordert auch wesentliche Rechenkapazitäten, was wiederum zu zusätzlichem Energieverbrauch durch den Controller und der Drohne führt.

Das Hacken von Drohnen mag etwas weit hergeholt erscheinen, aber der Einsatz von Drohnen ist nicht länger nur eine Nischen-Aktivität. Vergangenen Dezember testete Amazon den Einsatz von Drohnen für die Paketzustellung.

Unseren Überblick über die zunehmende Bedrohung für IoT-Geräte sowie Empfehlungen zum Schutz vor IoT-Malware finden Sie hier.

Von Erpressung zu ExPetr

Die von Ransomware ausgehende Bedrohung nimmt weiterhin zu. Zwischen April und März 2017 blockierten die Sicherheitslösungen von Kaspersky Lab Ransomware auf den Computern von 2.581.026 Nutzern. Das ist eine Zunahme von 11,4 Prozent gegenüber den vorangegangenen zwölf Monaten. Den vollständigen Bericht von Kaspersky Lab über die Entwicklungen im Bereich Erpresser-Software in den Jahren 2016 bis 2017 finden Sie hier. Die wichtigsten Trends haben wir an dieser Stelle trotzdem noch einmal zusammengefasst.

  • Das Erpresser-Modell wird uns noch lange erhalten bleiben und wir können einen zunehmenden Wettbewerb zwischen den einzelnen Ransomware-Gangs beobachten. Jetzt werden auch Länder angegriffen, die vorher unberührt geblieben waren und in denen die Menschen weniger gut darauf vorbereitet sind, mit dieser Bedrohung fertig zu werden.
  • Wir beobachten, dass die Ransomware-Attacken immer zielgerichteter werden – allein aus dem einfachen Grunde, dass Angriffe auf Unternehmen sehr viel einträglicher sind.
  • Ransomware wird technisch immer raffinierter und vielfältiger, es werden einsatzbereite Lösungen für diejenigen angeboten, die nicht über ausreichende Fähigkeiten, Ressourcen oder genügend Zeit verfügen, selbst Erpressersoftware zu entwickeln. All das läuft über ein wachsendes und zunehmend effizienteres Ökosystem im Untergrund.
  • Die Entwicklung einer Criminal-to-Criminal-Infrastruktur befördert das Aufkommen von betriebsfertigen Gelegenheitstools, mit denen zielgerichtete Attacken durchgeführt werden und Geld erpresst wird, und die die Angriffe noch breiter streuen.
  • Globale Initiativen, die Nutzer vor Verschlüsselungs-Ransomware schützen, wie etwa No More Ransom, werden weiter an Boden gewinnen.

Im Mai wurden wir mit der bisher umfangreichsten Ransomware-Epidemie aller Zeiten konfrontiert – WannaCry. Die meisten Attacken wurden in Russland registriert, es gab aber auch Opfer in der Ukraine, in Indien, Taiwan und vielen anderen Ländern – insgesamt waren 74 Länder betroffen. Die Malware breitete sich sehr schnell aus: Innerhalb nur eines Tages beobachteten wir mehr als 45.000 Infektionen (Europol schätzte später, dass mindestens 200.000 Nutzer WannaCry zum Opfer gefallen sind).

Der WannaCry-Schädling breitete sich aus, indem er sich ein Windows-Exploit mit dem Namen „EternalBlue“ zunutze machte, das auf einer Sicherheitslücke basiert, die Microsoft in seinem Sicherheitsupdate MS17-010 geschlossen hat. Das Update von Microsoft wurde am 14. März veröffentlicht, einen Monat bevor das Exploit EternalBlue von den „Shadow Brokers“ bereitgestellt wurde. Viele Organisationen haben ihre Systeme allerdings nicht gepatcht und den Angreifern so die Möglichkeit gegeben, sich entfernt Zugriff auf die Unternehmenssysteme zu verschaffen. Daraufhin breitete es sich auf andere ungepatchte Computer in dem Netzwerk aus.

Wie andere Verschlüsselungsschädlinge auch chiffriert WannaCry Dateien auf einem infizierten Computer und verlangt ein Lösegeld für die Entschlüsselung.

Die Angreifer verlangten ursprünglich 300 US-Dollar, gingen aber im Laufe der Epidemie bis auf 600 US-Dollar hoch.

Um sicherzustellen, dass das Opfer die Warnung nicht übersieht, änderte die Malware das Hintergrundbild und erklärte, wie das von der Malware platzierte Decodierungstool zu finden sei.

Unsere Analyse hat eindeutig gezeigt, dass der WannaCry-Code von geringer Qualität ist und dass die Entwickler viele Fehler gemacht haben, die es vielen infizierten Opfern ermöglichte, die verschlüsselten Daten wiederherzustellen. Die Art, wie die Angreifer die Lösegeldzahlungen organisierten, beschränkte ihre Möglichkeiten, aus der Ausbreitung des Wurms Kapital zu schlagen. Viele Versuche wurden unternommen, die Transaktionen über die von den Angreifern verwendeten Bitcoin-Wallets zu verfolgen. Auch wenn die Schätzungen darüber, wie viel Geld die Hintermänner von WannaCry gemacht haben, auseinandergehen, so liegt die Summe eher in den Zehntausenden als in den Hunderttausenden.

Die Angriffschronik in der ersten Woche zeigt, welchen Einfluss die Cyber-Security-Industrie mit ihren Anstrengungen hat, die Bedrohung zu bekämpfen.

Zu den Erfolgen der Sicherheitsforscher gehört nicht zuletzt auch die Entdeckung eines Notausschalters. Am Beginn des Codes gibt es eine spezielle Überprüfung. Es wird versucht, sich mit einer hartkodierten Webseite zu verbinden. Misslingt die Verbindung, wird der Angriff fortgesetzt, ist die Verbindung erfolgreich, so existiert der Code. Indem er diese Domain registrierte und sie auf einen Sinkhole-Server umleitete, gelang es einem britischen Forscher, die Infektionen durch diesen Wurm zu verlangsamen.

Einige Tage nach dem Ausbruch der Epidemie postete der Google-Experte Neel Mehta einen mysteriösen Tweet unter dem Hashtag #WannaCryptAttribution, in dem er auf eine Ähnlichkeit zwischen zwei Code-Samples hinwies. Das eine war ein WannaCry-Sample aus dem Februar 2017, das wie eine frühe Variante des Wurms aussah. Das andere war ein Lazarus-Sample aus dem Februar 2017. Kaspersky Lab und andere bestätigten die Ähnlichkeit. Es ist noch zu früh, um mit Sicherheit zu sagen, ob WannaCry das Werk der Lazarus-Gruppe war – wir müssen noch weitere Untersuchungen anstellen, um herauszufinden, ob sich die Puzzleteile zusammenfügen.

Den originalen Blogpost von Kaspersky Lab finden Sie hier, unsere FAQ hier und unseren Vergleich des WannaCry- und des Lazarus-Samples hier.

Gegen Ende Juni wurde von einer neuen Welle von Ransomware-Attacken berichtet. Die Malware, die wir ExPetr nannten (auch bekannt als Petya, Petrwrap und NotPetya) richtete sich in erster Linie gegen Unternehmen in der Ukraine, in Russland und Europa. Insgesamt waren ungefähr 2.000 Unternehmen davon betroffen.

ExPetr verwendet eine modifizierte Version des EternalBlue-Exploits sowie ein weiteres Exploit mit der Bezeichnung „EternalRomance“, das ebenfalls von den Shadow Brokers veröffentlicht wurde. Die Malware breitete sich getarnt als ein Update von MeDoc aus, eine ukrainische Buchhaltungssoftware, sowie mit Hilfe von Wasserloch-Attacken. War es der Ransomware gelungen, in die Zielorganisation einzudringen, verwendete sie maßgeschneiderte Tools, um Zugangsdaten aus dem Prozess „lsass.exe“ zu extrahieren, die sie dann an die Tools PsExec oder WMIC weitergab, um eine weitere Ausbreitung im Netzwerk zu gewährleisten.

Die Malware wartet zwischen zehn Minuten und einer Stunde, bevor sie den Computer neu startet und dann die Master File Table (MFT) in NTFS-Partitionen verschlüsselt, indem sie den MBR mit einem maßgeschneiderten Ladeprogramm überschreibt, das eine Lösegeldforderung enthält.

ExPetr verschlüsselt sowohl Dateien als auch die MFT. Die Angreifer verlangten 300 US-Dollar in Bitcoins für den Schlüssel zur Decodierung der gekaperten Daten, zahlbar auf einen vereinheitlichten Bitcoin-Account. Im Prinzip – und anders als im Fall von WannaCry – hätte diese Technik funktionieren können, da die Angreifer ihre Opfer aufgefordert haben, ihre Wallet-Nummer per E-Mail an „wowsmith123456@posteo.net“ zu schicken und damit die Transaktion zu bestätigen. Doch dieser E-Mail-Account wurde schnell deaktiviert und die Möglichkeiten der Angreifer, Geld zu machen, wurden dadurch eingeschränkt.

Aufgrund weiterer Analysen der Verschlüsselungsroutine kamen wir – wie auch einige andere Forscher – zu dem Schluss, dass es den Erpressern nicht möglich ist, die Festplatte der Opfer zu dechiffrieren, selbst wenn das Lösegeld bezahlt wurde. Das lässt vermuten, dass es sich bei ExPetr um ein als Ransomware getarntes Löschprogramm handelt. Es gibt sogar die Vermutung, dass es eine Verbindung zwischen ExPetr und der Ransomware BlackEnergy KillDisk aus den Jahren 2015 und 2016 gibt.

ExPetr war nicht die einzige Ransomware, die am 27. Juni 2017 via MeDoc-Updates verbreitet wurde. Ein weiteres Erpresserprogramm, das wir FakeCry getauft haben, wurde zur selben Zeit an MeDoc-Kunden geliefert. Unsere Daten weisen darauf hin, dass 90 Organisationen diese Malware erhalten haben, von denen sich fast alle in der Ukraine befinden.

Obwohl die Oberfläche und die Nachricht der von WannaCry sehr stark ähneln, handelt es sich hierbei um eine völlig andere Schadprogramm-Familie. Wir glauben, dass FakeCry mit der Absicht entwickelt wurde, falsche Fährten zu legen. Eine der interessantesten Fragen lautet: Sind FakeCry und ExPetr verwandt? Dieser Vermutung liegt die Tatsache zugrunde, dass beide zur selben Zeit über MeDoc-Updates in Umlauf gebracht wurden.

Hier unsere Empfehlungen zum Schutz vor Ransomware-Attacken.

  • Verwenden Sie eine stabile Anti-Malware-Suite mit integriertem Anti-Ransomware-Schutz (wie zum Beispiel „System Watcher“ von Kaspersky Lab).
  • Wenden Sie Sicherheitsupdates für das Betriebssystem und die Anwendungen an, sobald diese verfügbar sind.
  • Öffnen Sie keine Anhänge und klicken Sie nicht auf Links, die von nicht vertrauenswürdigen Quellen stammen.
  • Erstellen Sie ein Backup von sensitiven Daten auf einem externen Speicher und verbinden Sie diesen nicht mit dem Internet.
  • Bezahlen Sie niemals Lösegeld. Dadurch wird nicht nur die nächste Welle von Ransomware-Attacken angeheizt, sondern es gibt auch keine Garantie dafür, dass die Kriminellen Ihre Daten tatsächlich wiederherstellen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.