Anzeige

Cyber crime

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und diplomatische Einrichtungen entdeckt. Die Angriffsziele lagen hauptsächlich in Osteuropa. Die Attacken wurden mit einer bisher unbekannten Spionagesoftware durchgeführt. 

Das Schadprogramm zeichnet sich durch seinen modularen Aufbau sowie zwei interessante Merkmale aus. Zum einen kommt ein Protokoll zum Einsatz, das von einem Plugin für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Die zweite Besonderheit ist, dass das Spionageprogramm für seine Kommunikation auf das Tor-Netzwerk zurückgreift. Die ESET-Forscher haben diese Spionagesoftware "Attor" getauft. Auf WeLiveSecurity und in einem Whitepaper erläutern die Experten die Spionagesoftware detailliert.

"Die Angreifer, die 'Attor' einsetzen, konzentrieren sich auf diplomatische Einrichtungen und staatliche Institutionen. Diese Attacken, die seit mindestens 2013 andauern, richten sich in hohem Maße an Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigen", sagt Zuzana Hromcová, die ESET-Malwareforscherin, die die Analyse durchgeführt hat.

"Attor" hat eine modulare Architektur

Die Spionagesoftware "Attor" ist modular aufgebaut. Sie besteht aus einem übergeordneten Dispatcher und ladbaren Plugins, die die Anweisungen des Dispatchers benötigen. Diese Plugins werden als verschlüsselte DLLs an den betroffenen Windows-PC ausgeliefert. Sie werden nur im Speicher vollständig wiederhergestellt. "Attor" ist interessiert an bestimmten Prozessen - darunter jene, die mit russischen sozialen Netzwerken und einigen Verschlüsselungs-/Digital-Signatur-Dienstprogrammen verbunden sind - den VPN-Dienst HMA, die End-to-End-Verschlüsselungs-E-Mail-Dienste Hushmail und The Bat! sowie das Festplattenverschlüsselungsprogramm TrueCrypt.

"Die Art und Weise, wie 'Attor' die TrueCrypt-Version bestimmt, ist einzigartig. 'Attor' verwendet TrueCrypt-spezifische Kommandos für die Kommunikation mit der Anwendung, was zeigt, dass die Autoren der Malware den Open-Source-Code des TrueCrypt-Installationsprogramms verstehen müssen. Uns ist nicht bekannt, dass diese Technik bereits dokumentiert wurde", sagt Hromcová.

Plugins enthalten ungewöhnliche Eigenschaften

Unter den Fähigkeiten von "Attor", die durch die Plugins implementiert werden, zeichnen sich zwei besonders durch ihre ungewöhnlichen Eigenschaften aus: die Netzwerkkommunikation und Datensammlung von GSM-Geräten. Die Infrastruktur von "Attor" für die C&C-Kommunikation umfasst vier Komponenten - den Dispatcher mit Verschlüsselungsfunktionen und drei Plugins, die das FTP-Protokoll, die Tor-Funktionalität und die eigentliche Netzwerkkommunikation implementieren. "Dieser Mechanismus macht es unmöglich, die Netzwerkkommunikation von 'Attor' zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden", erklärt Hromcová.

Informationen über Telefone und Modems werden gesammelt

Das seltsamste Plugin im "Attor"-Arsenal sammelt Informationen über angeschlossene Modem-/Telefongeräte und angeschlossene Speicherlaufwerke sowie Informationen über Dateien, die sich auf diesen Laufwerken befinden. Laut den ESET-Forschern sind die Daten von GSM-Geräten, die über eine serielle Schnittstelle mit dem Computer verbunden sind, von besonderem Interesse für die Angreifer. "Attor" verwendet hierzu spezielle Kommandos, sogenannte "AT-Befehle", um mit dem Gerät zu kommunizieren und Identifikatoren abzurufen - unter anderem IMSI, IMEI, MSISDN und Softwareversion.

Daten für weiteren Angriff

"Die Daten eines solchen Gerätes kann als Grundlage für weiteren Datendiebstahl dienen. Wenn die Angreifer etwas über die Art des angeschlossenen Geräts erfahren, können sie ein benutzerdefiniertes Plugin erstellen und einsetzen, um mit AT-Befehlen Daten von diesem Gerät zu stehlen und Änderungen daran vorzunehmen, einschließlich der Änderung der Firmware des Geräts", schließt Hromcová.

WeLiveSecurity


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Ransomware

Ransomware wütet auch im Gesundheitswesen

Ransomware-Angriffe auf Unternehmen und andere Organisationen sind mittlerweile trauriger Alltag geworden. Das Gesundheitswesen ist da leider keine Ausnahme.
Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!