Schweizer Security-Firma verbreitet ungewollt Turla-Malware

Die mutmasslichen Ruag-Angreifer sind wieder aktiv.
 
Am Dienstag hat das Forschungsteam des Security-Anbieters Eset einen Blogpost veröffentlicht, der in der Security-Szene gegenwärtig einiges Aufsehen erregt. Eset schildert darin eine neue, raffinierte Technik, mit der die "Turla"-Cyberspionage-Gruppe versucht, die Adressen ihrer Command & Control-Server zu verstecken.
 
In einem Blogpost von Ende März brachte Eset die Turla-Grupope in Zusammenhang mit dem aufsehenerregenden Hack des Schweizer Rüstungskonzerns Ruag, der im Mai 2016 bekannt wurde. Die Sicherheitsexperten von GovCert.ch fanden damals Malware der Turla-Familie auf den infizierten Systemen.
 
Die von Eset geschilderte neue Kommunikationsmethode wird von einer Hintertür verwendet, die von einer vermeintlichen Firefox-Extension auf PCs installiert wird. Aber bevor wir zu dieser Methode kommen, gibt es noch einen interessanten Aspekt aus helvetischer Sicht: Die Extension wurde, wie Eset schreibt, über eine kompromittierte Website einer "Schweizer Sicherheitsfirma" verteilt. Ahnungslose Besucher der Website seien dazu aufgefordert worden, diese bösartige Erweiterung namens "HTML5 Encoding 0.3.7" zu installieren.
 
Name wird nicht genannt
Den Namen der Firma nennt Eset bewusst nicht, wie uns Pressesprecher Michael Klatte auf Anfrage mitteilte. Auch der genaue Zeitraum, in dem sich Besucher der Site mit der Extension infizieren konnten, wird im Blogpost nicht genannt. Eset sagt nur, dass man "vor kurzem" auf die erneuten Aktivitäten der Turla-Gruppe aufmerksam geworden sei.
 
Gemäss Eset ist die manipulierte Extension ein Aspekt einer neu aufgeflammten "Watering Hole"-Kampagne der Turla-Gruppe, bei der auch andere, ohne das Wissen der Betreiber kompromittierte Websites und andere Methoden verwendet wurden. Für eine Watering-Hole-Attacke versuchen die Angreifer, gezielt Sites zu kompromittieren, die von ihren potentiellen Opfern aufgesucht werden könnten. Die Turla-Leute nehmen laut Eset gerne Behörden, Regierungsoffizielle oder Diplomaten ins Visier. Daraus kann man schliessen, dass sie sich auch Sites aussuchen, bei denen eine hohe Chance besteht, dass sie von Interessierten aus diesen Kreisen besucht werden.
 
C&C-Server-Adressen auf Instagram versteckt
Malware, die einen PC infiziert hat, versucht oft mit einem sogenannten Command & Control-Server zu kommunizieren. Von diesen C&C-Servern erhält sie Anweisungen, zum Beispiel wohin sie Daten schicken soll oder ob sie weitere Malwarekomponenten herunterladen soll.
 
Wenn es also Security-Experten gelingt, solche C&C-Server zu identifizieren – meist handelt es auch dabei um gehackte Server, deren eigentliche Besitzer nichts Böses ahnen – dann können sie diese Kommunikation unterbinden. Deshalb versuchen Malware-Entwickler, die Adressen der von der Malware aufgerufenen Server durch immer neue Methoden möglichst gut zu verheimlichen. Im Falle der genannten Firefox-Extension hofften sie dies durch einen Umweg über Instagram zu erreichen.
 
Die Backdoor ruft nicht direkt einen C&C-Server auf, sondern einen Instagram-Eintrag, ein Foto von Britney Spears. Dort analysiert sie die Kommentare und hasht sie mit einer simplen Hash-Funktion. Kommt dabei der Hash-Wert 183 heraus, wird im Kommentar nach den Zeichen @, | oder # und dem nicht sichtbaren Unicode-Zeichen 200d gesucht. Aus den Buchstaben, die jeweils auf diese Zeichen folgen, setzt die Malware eine Bit-ly-URL zusammen. Diese mittlerweile geblockte URL führte zu einem C&C-Server (static.travelclothes.org/dolR_1ert.php), der von den Angreifern schon früher verwendet wurde, wie Eset schreibt.
 
Die verwendete Bit-ly-Adresse wurde allerdings nur 17 Mal aufgerufen. Die Security-Experten schliessen daraus, dass es sich um einen Testlauf gehandelt haben könnte. (Hans Jörg Maron)

Unser Kommentar:

Natürlich gibt es ein verständliches Interesse der betroffenen Schweizer Security-Firma, dass ihr Name nicht genannt wird.
 
Aber gibt es nicht auch ein legitimes Interesse der Leute, welche die Site während der "heissen" Zeit besucht haben, über die Gefahr informiert zu werden? Oder konnte die betroffene Firma beziehungsweise Eset alle Site-Besucher identifizieren und warnen? Diese Frage haben wir heute Nachmittag auch an Eset gestellt, darauf aber noch keine Antwort erhalten.
 
Und: Sooo viele Schweizer Security-Firmen existieren nicht. Spekulationen sind also zu erwarten. Gibt es nicht auch ein Interesse der nicht betroffenen Unternehmen, vom Generalverdacht entlastet zu werden? (Hans Jörg Maron)