Anzeige

Cyber crime

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und diplomatische Einrichtungen entdeckt. Die Angriffsziele lagen hauptsächlich in Osteuropa. Die Attacken wurden mit einer bisher unbekannten Spionagesoftware durchgeführt. 

Das Schadprogramm zeichnet sich durch seinen modularen Aufbau sowie zwei interessante Merkmale aus. Zum einen kommt ein Protokoll zum Einsatz, das von einem Plugin für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Die zweite Besonderheit ist, dass das Spionageprogramm für seine Kommunikation auf das Tor-Netzwerk zurückgreift. Die ESET-Forscher haben diese Spionagesoftware "Attor" getauft. Auf WeLiveSecurity und in einem Whitepaper erläutern die Experten die Spionagesoftware detailliert.

"Die Angreifer, die 'Attor' einsetzen, konzentrieren sich auf diplomatische Einrichtungen und staatliche Institutionen. Diese Attacken, die seit mindestens 2013 andauern, richten sich in hohem Maße an Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigen", sagt Zuzana Hromcová, die ESET-Malwareforscherin, die die Analyse durchgeführt hat.

"Attor" hat eine modulare Architektur

Die Spionagesoftware "Attor" ist modular aufgebaut. Sie besteht aus einem übergeordneten Dispatcher und ladbaren Plugins, die die Anweisungen des Dispatchers benötigen. Diese Plugins werden als verschlüsselte DLLs an den betroffenen Windows-PC ausgeliefert. Sie werden nur im Speicher vollständig wiederhergestellt. "Attor" ist interessiert an bestimmten Prozessen - darunter jene, die mit russischen sozialen Netzwerken und einigen Verschlüsselungs-/Digital-Signatur-Dienstprogrammen verbunden sind - den VPN-Dienst HMA, die End-to-End-Verschlüsselungs-E-Mail-Dienste Hushmail und The Bat! sowie das Festplattenverschlüsselungsprogramm TrueCrypt.

"Die Art und Weise, wie 'Attor' die TrueCrypt-Version bestimmt, ist einzigartig. 'Attor' verwendet TrueCrypt-spezifische Kommandos für die Kommunikation mit der Anwendung, was zeigt, dass die Autoren der Malware den Open-Source-Code des TrueCrypt-Installationsprogramms verstehen müssen. Uns ist nicht bekannt, dass diese Technik bereits dokumentiert wurde", sagt Hromcová.

Plugins enthalten ungewöhnliche Eigenschaften

Unter den Fähigkeiten von "Attor", die durch die Plugins implementiert werden, zeichnen sich zwei besonders durch ihre ungewöhnlichen Eigenschaften aus: die Netzwerkkommunikation und Datensammlung von GSM-Geräten. Die Infrastruktur von "Attor" für die C&C-Kommunikation umfasst vier Komponenten - den Dispatcher mit Verschlüsselungsfunktionen und drei Plugins, die das FTP-Protokoll, die Tor-Funktionalität und die eigentliche Netzwerkkommunikation implementieren. "Dieser Mechanismus macht es unmöglich, die Netzwerkkommunikation von 'Attor' zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden", erklärt Hromcová.

Informationen über Telefone und Modems werden gesammelt

Das seltsamste Plugin im "Attor"-Arsenal sammelt Informationen über angeschlossene Modem-/Telefongeräte und angeschlossene Speicherlaufwerke sowie Informationen über Dateien, die sich auf diesen Laufwerken befinden. Laut den ESET-Forschern sind die Daten von GSM-Geräten, die über eine serielle Schnittstelle mit dem Computer verbunden sind, von besonderem Interesse für die Angreifer. "Attor" verwendet hierzu spezielle Kommandos, sogenannte "AT-Befehle", um mit dem Gerät zu kommunizieren und Identifikatoren abzurufen - unter anderem IMSI, IMEI, MSISDN und Softwareversion.

Daten für weiteren Angriff

"Die Daten eines solchen Gerätes kann als Grundlage für weiteren Datendiebstahl dienen. Wenn die Angreifer etwas über die Art des angeschlossenen Geräts erfahren, können sie ein benutzerdefiniertes Plugin erstellen und einsetzen, um mit AT-Befehlen Daten von diesem Gerät zu stehlen und Änderungen daran vorzunehmen, einschließlich der Änderung der Firmware des Geräts", schließt Hromcová.

WeLiveSecurity


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!