Plug-Ins des Schädlings BlackEnergy hinterlassen eine Spur der Zerstörung

BlackEnergy, ein überaus flexibles cyberkriminelles Tool, operiert mit einer langen Liste von Plug-Ins für Linux und Windows, wodurch es ihm möglich wird, Netzgeräte von Cisco anzugreifen, digitale Zertifikate zu stehlen, infizierte Geräte außer Gefecht zu setzen und sich gekonnt vor IT-Sicherheitsexperten zu verbergen.

BlackEnergy kam bei einer Reihe zielgerichteter ATP-Attacken zum Einsatz, die sich gegen kritische Branchen richteten, unter anderem auch gegen die Regierung und die Industrie. In der vergangenen Woche veröffentlichte das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) eine Warnmitteilung über kritische Sicherheitslücken in Industriekontrollsystemen (ICS) und SCADA-Ausrüstung, die aktiv von Schädlingen ausgenutzt werden, von denen der auffälligste Sandworm ist.

Eine der nicht namentlich genannten Organisationen, die von den Kaspersky Lab-Experten Maria Garnaeva und Kurt Baumgartner beschrieben wurden, wurde mit zielgerichteten Phishing-Mails angegriffen, die ein Exploit für eine nicht geschlossene Sicherheitslücke in WinRAR enthielten, und auf den infizierten Computern wurden Plug-Ins für den Diebstahl von Account-Daten, für die Verbreitung im Netz und den Diebstahl von Screenshots gefunden. Sobald die Cyberkriminellen bemerkt hatten, dass ihre Aktivität aufgedeckt wurde, so Garnaeva und Baumgartner, wurde auf die Computer ein Plug-In mit der Bezeichnung „dstr” geladen, das bewirkte, dass die Systeme nicht mehr gebootet werden konnten.

Drei Wochen später brachte ein Bericht von iSIGHT Partners BlackEnergy mit einer russischen Spionagekampagne in Verbindung, die diesen Schädling zur Ausnutzung einer Zero-Day-Sicherheitslücke in Windows benutzte, um Daten von Regierungs- und Militärorganisationen, Energieunternehmen, der NATO und von Telekommunikationsprovidern zu stehlen.

Die Entdeckung der Plug-Ins offenbarte ein breites Spektrum an Möglichkeiten, über die die Cyberkriminellen verfügen. Am erstaunlichsten war, wie die Experten schreiben, ein Plug-In mit der Bezeichnung weap_hwi, ein DDoS-Tool für ARM/MIPS-Systeme. Eine weiterführende Analyse einer Auswahl von Linux-Plug-Ins legte einen wohlstrukturierten Entwicklungsprozess offen, mit regulären Updates der Konfigurationsdateien des Schädlings, die von einem kleinen Team von Plug-In-Entwicklern geschrieben wurden, die sich mit mehreren Plattformen auskennen.

Die Liste der Plug-Ins für Windows ist vielfältiger als die für Linux und enthält zusätzlich zu den gewöhnlichen Plug-Ins, die für die Suche nach Dateien bestimmter Typen entwickelt wurden, auch Plug-Ins für den Diebstahl von Passwörtern und Zertifikaten, und der Befehl dstr überschreibt den Inhalt der Festplatte mit einer willkürlichen Datenauswahl und zerstört ihn. Zudem entdeckten die Forscher einen Reserve-Verbindungskanal, der über Google Plus-Accounts umgesetzt wird.

Die Forscher entdeckten in der Konfigurationsdatei eine ID für zwei Google Plus-Accounts, von denen der eine 75 Millionen Mal aufgerufen worden war.

„Diese Zahl stellt eine ID für den Service plus.google.com dar und wird von dem Plug-In grc zur Analyse von html verwendet. Daraufhin lädt und entschlüsselt es eine PNG-Datei“, heißt es in dem Bericht. „Die entschlüsselte PNG ist für die Übermittlung der neuen Adresse des Steuerungs- und Kontrollservers vorgesehen, obwohl wir dergleichen bisher noch nicht beobachtet haben.“

Das zweite nicht namentlich genannte Opfer wurde nach Angaben der Experten mit Hilfe der VPN-Zugangsdaten des ersten Opfers gehackt, und in diesem Fall war das Ausmaß der Zerstörung größer. Kompromittiert wurden einige Router von Cisco, alle mit unterschiedlichen Versionen des Betriebssystems Cisco IOS ausgestattet, und die Organisation teilte mit, dass die Möglichkeit, sich mit den Routern über telnet zu verbinden, nun nicht mehr gegeben sei. Die Forscher fanden in dem Dateisystem der Router ein schädliches Skript, das eine grobe Mitteilung an die Adresse der Analysten von Kaspersky Lab enthielt.

Es wurden noch zwei weitere Opfer identifiziert, von denen das eine durch eine einfache zielgerichtete Attacke kompromittiert wurde. Dabei wurden keine Netzwerkgeräte gehackt und keine Daten zerstört. Das vierte Opfer wurde mit Hilfe von BlackEnergy über eine Sicherheitslücke in einer SCADA-Ausrüstung von Siemens angegriffen, und zwar irgendwann zwischen März und Juli.

Bei den meisten Opfern handelt es sich um Elektrizitätsversorger aus Osteuropa, den ehemaligen Sowjetrepubliken, Ländern Asiens und des Mittleren Ostens. Neben Elektrizitätswerken, Energiebetreibern und Materiallieferanten für die Energiewirtschaft wurden nach Angaben der Experten von Kaspersky Lab auch staatliche Organisationen, staatliche Notfalldienste, Banken und technisch hoch entwickelte Transportunternehmen infiziert.

Der Bericht weist außerdem darauf hin, dass auch Plug-Ins gefunden wurden, die Informationen über angeschlossene USB-Geräte, das BIOS, die Hauptplatine und den Prozessor zusammentragen, doch warum Daten dieser Art gesammelt werden, bleibt unklar.

„Wozu die Gangster Informationen über USB und die Charakteristika des BIOS benötigen? Vermutlich können sie auf der Grundlage bestimmter USB-Geräte und dem BIOS bestimmte Plug-Ins zur Ausführung zusätzlicher Aktionen laden“, erklärten die Forscher. „Diese Aktionen sind sehr wahrscheinlich destruktiv und dienen vermutlich im Folgenden der Infektion von Geräten. Bisher wissen wir es nicht.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.