Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Cyber crime

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und diplomatische Einrichtungen entdeckt. Die Angriffsziele lagen hauptsächlich in Osteuropa. Die Attacken wurden mit einer bisher unbekannten Spionagesoftware durchgeführt. 

Das Schadprogramm zeichnet sich durch seinen modularen Aufbau sowie zwei interessante Merkmale aus. Zum einen kommt ein Protokoll zum Einsatz, das von einem Plugin für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Die zweite Besonderheit ist, dass das Spionageprogramm für seine Kommunikation auf das Tor-Netzwerk zurückgreift. Die ESET-Forscher haben diese Spionagesoftware "Attor" getauft. Auf WeLiveSecurity und in einem Whitepaper erläutern die Experten die Spionagesoftware detailliert.

"Die Angreifer, die 'Attor' einsetzen, konzentrieren sich auf diplomatische Einrichtungen und staatliche Institutionen. Diese Attacken, die seit mindestens 2013 andauern, richten sich in hohem Maße an Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigen", sagt Zuzana Hromcová, die ESET-Malwareforscherin, die die Analyse durchgeführt hat.

"Attor" hat eine modulare Architektur

Die Spionagesoftware "Attor" ist modular aufgebaut. Sie besteht aus einem übergeordneten Dispatcher und ladbaren Plugins, die die Anweisungen des Dispatchers benötigen. Diese Plugins werden als verschlüsselte DLLs an den betroffenen Windows-PC ausgeliefert. Sie werden nur im Speicher vollständig wiederhergestellt. "Attor" ist interessiert an bestimmten Prozessen - darunter jene, die mit russischen sozialen Netzwerken und einigen Verschlüsselungs-/Digital-Signatur-Dienstprogrammen verbunden sind - den VPN-Dienst HMA, die End-to-End-Verschlüsselungs-E-Mail-Dienste Hushmail und The Bat! sowie das Festplattenverschlüsselungsprogramm TrueCrypt.

"Die Art und Weise, wie 'Attor' die TrueCrypt-Version bestimmt, ist einzigartig. 'Attor' verwendet TrueCrypt-spezifische Kommandos für die Kommunikation mit der Anwendung, was zeigt, dass die Autoren der Malware den Open-Source-Code des TrueCrypt-Installationsprogramms verstehen müssen. Uns ist nicht bekannt, dass diese Technik bereits dokumentiert wurde", sagt Hromcová.

Plugins enthalten ungewöhnliche Eigenschaften

Unter den Fähigkeiten von "Attor", die durch die Plugins implementiert werden, zeichnen sich zwei besonders durch ihre ungewöhnlichen Eigenschaften aus: die Netzwerkkommunikation und Datensammlung von GSM-Geräten. Die Infrastruktur von "Attor" für die C&C-Kommunikation umfasst vier Komponenten - den Dispatcher mit Verschlüsselungsfunktionen und drei Plugins, die das FTP-Protokoll, die Tor-Funktionalität und die eigentliche Netzwerkkommunikation implementieren. "Dieser Mechanismus macht es unmöglich, die Netzwerkkommunikation von 'Attor' zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden", erklärt Hromcová.

Informationen über Telefone und Modems werden gesammelt

Das seltsamste Plugin im "Attor"-Arsenal sammelt Informationen über angeschlossene Modem-/Telefongeräte und angeschlossene Speicherlaufwerke sowie Informationen über Dateien, die sich auf diesen Laufwerken befinden. Laut den ESET-Forschern sind die Daten von GSM-Geräten, die über eine serielle Schnittstelle mit dem Computer verbunden sind, von besonderem Interesse für die Angreifer. "Attor" verwendet hierzu spezielle Kommandos, sogenannte "AT-Befehle", um mit dem Gerät zu kommunizieren und Identifikatoren abzurufen - unter anderem IMSI, IMEI, MSISDN und Softwareversion.

Daten für weiteren Angriff

"Die Daten eines solchen Gerätes kann als Grundlage für weiteren Datendiebstahl dienen. Wenn die Angreifer etwas über die Art des angeschlossenen Geräts erfahren, können sie ein benutzerdefiniertes Plugin erstellen und einsetzen, um mit AT-Befehlen Daten von diesem Gerät zu stehlen und Änderungen daran vorzunehmen, einschließlich der Änderung der Firmware des Geräts", schließt Hromcová.

WeLiveSecurity

GRID LIST
Hacker

3 Hacker, die Geschichte schrieben

Immer neue Cyberattacken halten uns Tag für Tag auf Trab. Bei der Analyse der Angriffe…
Bug

Shitrix: Sicherheitslücke bedroht tausende Unternehmensnetzwerke

Sicherheitsforscher sprechen bereits von einer der gefährlichsten Sicherheitslücken der…
Security Schloss

Digitale Geschäftsmodelle: Tipps für mehr Sicherheit

Die Digitalisierung hat weit reichende Auswirkung und verändert Geschäftsmodelle…
Hacker

Hackerangriff auf Mittelstandsunternehmen im Medizinsektor

Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im…
Update

Panikmache? Die zukünftige Sicherheit von Windows 7

Dass Microsoft den Support für Windows 7 einstellt, kommt für Experten nicht…
Tb W190 H80 Crop Int 9ee81ceb786e3f12cafd16c97e1fbd26

Microsoft schließt Windows-Schwachstelle nach NSA-Hinweis

Geheimdienste wie die amerikanische NSA, melden entdeckte IT-Sicherheitslücken nicht…