Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Cyber crime

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und diplomatische Einrichtungen entdeckt. Die Angriffsziele lagen hauptsächlich in Osteuropa. Die Attacken wurden mit einer bisher unbekannten Spionagesoftware durchgeführt. 

Das Schadprogramm zeichnet sich durch seinen modularen Aufbau sowie zwei interessante Merkmale aus. Zum einen kommt ein Protokoll zum Einsatz, das von einem Plugin für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Die zweite Besonderheit ist, dass das Spionageprogramm für seine Kommunikation auf das Tor-Netzwerk zurückgreift. Die ESET-Forscher haben diese Spionagesoftware "Attor" getauft. Auf WeLiveSecurity und in einem Whitepaper erläutern die Experten die Spionagesoftware detailliert.

"Die Angreifer, die 'Attor' einsetzen, konzentrieren sich auf diplomatische Einrichtungen und staatliche Institutionen. Diese Attacken, die seit mindestens 2013 andauern, richten sich in hohem Maße an Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigen", sagt Zuzana Hromcová, die ESET-Malwareforscherin, die die Analyse durchgeführt hat.

"Attor" hat eine modulare Architektur

Die Spionagesoftware "Attor" ist modular aufgebaut. Sie besteht aus einem übergeordneten Dispatcher und ladbaren Plugins, die die Anweisungen des Dispatchers benötigen. Diese Plugins werden als verschlüsselte DLLs an den betroffenen Windows-PC ausgeliefert. Sie werden nur im Speicher vollständig wiederhergestellt. "Attor" ist interessiert an bestimmten Prozessen - darunter jene, die mit russischen sozialen Netzwerken und einigen Verschlüsselungs-/Digital-Signatur-Dienstprogrammen verbunden sind - den VPN-Dienst HMA, die End-to-End-Verschlüsselungs-E-Mail-Dienste Hushmail und The Bat! sowie das Festplattenverschlüsselungsprogramm TrueCrypt.

"Die Art und Weise, wie 'Attor' die TrueCrypt-Version bestimmt, ist einzigartig. 'Attor' verwendet TrueCrypt-spezifische Kommandos für die Kommunikation mit der Anwendung, was zeigt, dass die Autoren der Malware den Open-Source-Code des TrueCrypt-Installationsprogramms verstehen müssen. Uns ist nicht bekannt, dass diese Technik bereits dokumentiert wurde", sagt Hromcová.

Plugins enthalten ungewöhnliche Eigenschaften

Unter den Fähigkeiten von "Attor", die durch die Plugins implementiert werden, zeichnen sich zwei besonders durch ihre ungewöhnlichen Eigenschaften aus: die Netzwerkkommunikation und Datensammlung von GSM-Geräten. Die Infrastruktur von "Attor" für die C&C-Kommunikation umfasst vier Komponenten - den Dispatcher mit Verschlüsselungsfunktionen und drei Plugins, die das FTP-Protokoll, die Tor-Funktionalität und die eigentliche Netzwerkkommunikation implementieren. "Dieser Mechanismus macht es unmöglich, die Netzwerkkommunikation von 'Attor' zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden", erklärt Hromcová.

Informationen über Telefone und Modems werden gesammelt

Das seltsamste Plugin im "Attor"-Arsenal sammelt Informationen über angeschlossene Modem-/Telefongeräte und angeschlossene Speicherlaufwerke sowie Informationen über Dateien, die sich auf diesen Laufwerken befinden. Laut den ESET-Forschern sind die Daten von GSM-Geräten, die über eine serielle Schnittstelle mit dem Computer verbunden sind, von besonderem Interesse für die Angreifer. "Attor" verwendet hierzu spezielle Kommandos, sogenannte "AT-Befehle", um mit dem Gerät zu kommunizieren und Identifikatoren abzurufen - unter anderem IMSI, IMEI, MSISDN und Softwareversion.

Daten für weiteren Angriff

"Die Daten eines solchen Gerätes kann als Grundlage für weiteren Datendiebstahl dienen. Wenn die Angreifer etwas über die Art des angeschlossenen Geräts erfahren, können sie ein benutzerdefiniertes Plugin erstellen und einsetzen, um mit AT-Befehlen Daten von diesem Gerät zu stehlen und Änderungen daran vorzunehmen, einschließlich der Änderung der Firmware des Geräts", schließt Hromcová.

WeLiveSecurity

GRID LIST
Malware

Agent Tesla verbreitet sich wie ein Lauffeuer – Emotet erwacht wieder

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ:…
hacker Anonymous

Cyber-Mythen aus Film und Fernsehen

Der Herbst ist da und mit ihm steht auch Halloween vor der Tür: Zur Einstimmung schauen…
Zeki Turedi

EU-Kommission warnt vor Cyberangriffen auf 5G-Netze

Die Kritik an der Vergabe der 5G-Netze an nicht europäische Anbieter reißt nicht ab.…
Tb W190 H80 Crop Int 7eb8d464864bbbdaf6fa999ca76291d9

Gravierende Sicherheitslücken in TwitterKit für iOS

Das TwitterKit für iOS 3.4.2, das zahlreiche Apps zur Kommunikation mit Twitter nutzen,…
Hacker

Erhöhte Gefahr für deutsche Lager- und Logistikbranche

Mimecast Limited (NASDAQ: MIME) warnt vor der aktuellen Bedrohungssituation in…
Deepfakes

Deepfake: die Schattenseite der künstlichen Intelligenz

Deepfakes werden durch den Einsatz künstlicher Intelligenz kreiert. Dabei werden…