Spionageangriffe auf Regierungen und Organisationen enttarnt

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und diplomatische Einrichtungen entdeckt. Die Angriffsziele lagen hauptsächlich in Osteuropa. Die Attacken wurden mit einer bisher unbekannten Spionagesoftware durchgeführt. 

Das Schadprogramm zeichnet sich durch seinen modularen Aufbau sowie zwei interessante Merkmale aus. Zum einen kommt ein Protokoll zum Einsatz, das von einem Plugin für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Die zweite Besonderheit ist, dass das Spionageprogramm für seine Kommunikation auf das Tor-Netzwerk zurückgreift. Die ESET-Forscher haben diese Spionagesoftware “Attor” getauft. Auf WeLiveSecurity und in einem Whitepaper erläutern die Experten die Spionagesoftware detailliert.

Anzeige

“Die Angreifer, die ‘Attor’ einsetzen, konzentrieren sich auf diplomatische Einrichtungen und staatliche Institutionen. Diese Attacken, die seit mindestens 2013 andauern, richten sich in hohem Maße an Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigen”, sagt Zuzana Hromcová, die ESET-Malwareforscherin, die die Analyse durchgeführt hat.

“Attor” hat eine modulare Architektur

Die Spionagesoftware “Attor” ist modular aufgebaut. Sie besteht aus einem übergeordneten Dispatcher und ladbaren Plugins, die die Anweisungen des Dispatchers benötigen. Diese Plugins werden als verschlüsselte DLLs an den betroffenen Windows-PC ausgeliefert. Sie werden nur im Speicher vollständig wiederhergestellt. “Attor” ist interessiert an bestimmten Prozessen – darunter jene, die mit russischen sozialen Netzwerken und einigen Verschlüsselungs-/Digital-Signatur-Dienstprogrammen verbunden sind – den VPN-Dienst HMA, die End-to-End-Verschlüsselungs-E-Mail-Dienste Hushmail und The Bat! sowie das Festplattenverschlüsselungsprogramm TrueCrypt.

“Die Art und Weise, wie ‘Attor’ die TrueCrypt-Version bestimmt, ist einzigartig. ‘Attor’ verwendet TrueCrypt-spezifische Kommandos für die Kommunikation mit der Anwendung, was zeigt, dass die Autoren der Malware den Open-Source-Code des TrueCrypt-Installationsprogramms verstehen müssen. Uns ist nicht bekannt, dass diese Technik bereits dokumentiert wurde”, sagt Hromcová.

Plugins enthalten ungewöhnliche Eigenschaften

Unter den Fähigkeiten von “Attor”, die durch die Plugins implementiert werden, zeichnen sich zwei besonders durch ihre ungewöhnlichen Eigenschaften aus: die Netzwerkkommunikation und Datensammlung von GSM-Geräten. Die Infrastruktur von “Attor” für die C&C-Kommunikation umfasst vier Komponenten – den Dispatcher mit Verschlüsselungsfunktionen und drei Plugins, die das FTP-Protokoll, die Tor-Funktionalität und die eigentliche Netzwerkkommunikation implementieren. “Dieser Mechanismus macht es unmöglich, die Netzwerkkommunikation von ‘Attor’ zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden”, erklärt Hromcová.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Informationen über Telefone und Modems werden gesammelt

Das seltsamste Plugin im “Attor”-Arsenal sammelt Informationen über angeschlossene Modem-/Telefongeräte und angeschlossene Speicherlaufwerke sowie Informationen über Dateien, die sich auf diesen Laufwerken befinden. Laut den ESET-Forschern sind die Daten von GSM-Geräten, die über eine serielle Schnittstelle mit dem Computer verbunden sind, von besonderem Interesse für die Angreifer. “Attor” verwendet hierzu spezielle Kommandos, sogenannte “AT-Befehle”, um mit dem Gerät zu kommunizieren und Identifikatoren abzurufen – unter anderem IMSI, IMEI, MSISDN und Softwareversion.

Daten für weiteren Angriff

“Die Daten eines solchen Gerätes kann als Grundlage für weiteren Datendiebstahl dienen. Wenn die Angreifer etwas über die Art des angeschlossenen Geräts erfahren, können sie ein benutzerdefiniertes Plugin erstellen und einsetzen, um mit AT-Befehlen Daten von diesem Gerät zu stehlen und Änderungen daran vorzunehmen, einschließlich der Änderung der Firmware des Geräts”, schließt Hromcová.

WeLiveSecurity

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.