Linux-Module der APT Turla entdeckt

Der Aktionsradius der APT-Kampagne Turla ist wesentlich größer als bisher angenommen – vor kurzem wurden zwei Module entdeckt, die zur Infektion von Linux-Servern entwickelt wurde. Bis dahin wurden nur Turla-Samples gefunden, die für 32- oder 64-Bit-Versionen von Windows-Systemen konstruiert worden waren, doch die Experten von Kaspersky Lab haben nun etwas Neues entdeckt.

„Das Angriffstool ist ein weiteres Teil aus dem Set neben dem Snake Rootkit und den Komponenten, die vor ein paar Jahren als erstes mit diesem Bedrohungsakteur in Verbindung gebracht wurden», schreiben Kurt Baumgartner und Costin Raiu, IT-Sicherheitsexperten aus dem Global Research and Analysis Team, GreAT, von Kaspersky Lab. „Wir vermuten, dass diese Komponente jahrelang auf einer Opfer-Site gelaufen ist, aber wir haben noch keine konkreten Daten, die diese Behauptung bestätigen.“

Wie auch im Fall ihrer Windows-Gegenstücke handelt es sich bei dieser Version von Turla um eine Backdoor, die verwendet wird, um die Verbindungskanäle zu den C&C-Servern zu öffnen. Kaspersky Lab teilt mit, dass es dem Unternehmen gelungen ist, ein solche Domain aufzudecken, die auf UDP-Paketen basiert, die von einem der Linux-Module für das Herausziehen von Dateien, für die entfernte Steuerung und das entfernte Ausführen von Code benutzt werden.

Turla wurde im Rahmen von Spionageoperationen gegen kommunale Einrichtungen, Botschaften, Unternehmen aus der Rüstungsindustrie und aus anderen Industriebranchen eingesetzt, die sich zum größten Teil im Mittleren Osten und in Europa befinden. Im August wurde eine weitere Komponente dieser verborgenen Attacken gefunden, die den Namen Epic Turla erhielt; Epic ist eine Attacke in mehreren Etappen, deren Opfer mit Hilfe zielgerichteter E-Mails und anderen Social-Engineering-Methoden oder durch Wasserlochangriffe kompromittiert werden.

Die Epic Turla-Kampagne kombinierte Allerwelts-Exploits mit einem Zero-Day-Exploit auf Rechnern unter Windows XP und Windows Server 2003, außerdem wurde eine Zero-Day-Sicherheitslücke in Adobe Reader ausgenutzt, die Cyberkriminellen zu einer Privilegienerhöhung in dem zugrunde liegenden Betriebssystem verhelfen kann.

Wir wissen von über 100 Websites, die im Rahmen der Epic Turla-Attacken infiziert wurden, dazu gehören unter anderen die Website des Rathauses von Pinor in Spanien, eine Unternehmenswebsite in Rumänien und eine Seite des Palästinensischen Außenministeriums.

Alle diese Websites wurden mit Hilfe des Content Management Systems TYPO3 erstellt, was den Schluss zulässt, dass die Cyberkriminellen über Zugriff auf Sicherheitslücken in dieser Plattform verfügen.

Einmal kompromittiert, laden die Websites entferntes JavaScript, das eine Reihe von Aufgaben erledigt, unter anderem den Download von Exploits für Sicherheitslücken im Internet Explorer 6-8 und für neuere Bugs in Java und Flash sowie den Download der gefälschten Anwendung Microsoft Security Essentials, die mit einem legitimen Zertifikat von Sysprint AG signiert ist.

Raiu und Baumgartner erklären, dass ein großer Teil des Codes der Linux-Version von Turla aus öffentlichen Quellen stammt. Die Backdoor beispielsweise basiert auf cd00r. Das beinhaltet eine ausführbare ELF-Datei, die statisch verlinkt ist mit: der GNU C Bibliothek, einer veralteten Version von OpenSSL und mit libpcap, der Bibliothek von tcpdump zum Mitschneiden von Netzwerkverkehr.

Nach Aussage der Spezialisten ermöglicht die Verwendung der auf cd00r basierenden Backdoor es der Attacke, unentdeckt zu bleiben, da sie zum Ausführen entfernter Befehle keine erhöhten Privilegien benötigt.

„Sie kann nicht via netstat, einem gängigen Verwaltungstool, detektiert werden. Sie verwendet Techniken, die keinen Root-Zugriff erforderlich machen, wodurch sie problemloser auf mehr Opfer-Hosts laufen kann“, schreiben die Experten. „Selbst wenn sie ein regulärer Nutzer mit eingeschränkten Privilegien startet, kann sie weiterhin einkommende Pakete abfangen und eingehende Befehle auf dem System ausführen.“

Turla wurde zu Beginn dieses Jahres entdeckt und Forscher konnten einen Zusammenhang mit dem Wurm Agent.btz feststellen, der militärische Netzwerke in den USA infizierte, was die Regierung zum Erlass eines Verbots von USB-Speichermedien veranlasste. Obgleich Agent.btz und Turla ähnliche Charakteristika aufweisen, konnten ihre Autoren nicht miteinander in Verbindung gebracht werden. Turla benutzt denselben XOR-Schlüssel und dieselben Dateinamen wie auch Agent.btz. Baumgartner und Raiu erklärten, dass sie von der Existenz einer Version unter Linux zwar wussten, dies aber das erste Sample sei, das sie in freier Wildbahn einfangen konnten.

„Ein Teil des Schadcodes scheint inaktiv zu sein, vielleicht handelt es sich dabei um Überbleibsel älterer Versionen des Implantats“, erklären die Experten. „Der vielleicht interessanteste Teil ist ein ungewöhnlicher C&C-Mechanismus, der auf TCP/UDP-Paketen basiert, sowie der C&C-Hostname, der zur bereits bekannten Turla-Aktivität passt.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.