Schweizer Security-Firma verbreitet ungewollt Turla-Malware

8. Juni 2017, 15:01
  • security
  • eset
image

Die mutmasslichen Ruag-Angreifer sind wieder aktiv.

Die mutmasslichen Ruag-Angreifer sind wieder aktiv.
Am Dienstag hat das Forschungsteam des Security-Anbieters Eset einen Blogpost veröffentlicht, der in der Security-Szene gegenwärtig einiges Aufsehen erregt. Eset schildert darin eine neue, raffinierte Technik, mit der die "Turla"-Cyberspionage-Gruppe versucht, die Adressen ihrer Command & Control-Server zu verstecken.
In einem Blogpost von Ende März brachte Eset die Turla-Grupope in Zusammenhang mit dem aufsehenerregenden Hack des Schweizer Rüstungskonzerns Ruag.
Die von Eset geschilderte neue Kommunikationsmethode wird von einer Hintertür verwendet, die von einer vermeintlichen Firefox-Extension auf PCs installiert wird. Aber bevor wir zu dieser Methode kommen, gibt es noch einen interessanten Aspekt aus helvetischer Sicht: Die Extension wurde, wie Eset schreibt, über eine kompromittierte Website einer "Schweizer Sicherheitsfirma" verteilt. Ahnungslose Besucher der Website seien dazu aufgefordert worden, diese bösartige Erweiterung namens "HTML5 Encoding 0.3.7" zu installieren.
Name wird nicht genannt
Den Namen der Firma nennt Eset bewusst nicht, wie uns Pressesprecher Michael Klatte auf Anfrage mitteilte. Auch der genaue Zeitraum, in dem sich Besucher der Site mit der Extension infizieren konnten, wird im Blogpost nicht genannt. Eset sagt nur, dass man "vor kurzem" auf die erneuten Aktivitäten der Turla-Gruppe aufmerksam geworden sei.
Gemäss Eset ist die manipulierte Extension ein Aspekt einer neu aufgeflammten "Watering Hole"-Kampagne der Turla-Gruppe, bei der auch andere, ohne das Wissen der Betreiber kompromittierte Websites und andere Methoden verwendet wurden. Für eine Watering-Hole-Attacke versuchen die Angreifer, gezielt Sites zu kompromittieren, die von ihren potentiellen Opfern aufgesucht werden könnten. Die Turla-Leute nehmen laut Eset gerne Behörden, Regierungsoffizielle oder Diplomaten ins Visier. Daraus kann man schliessen, dass sie sich auch Sites aussuchen, bei denen eine hohe Chance besteht, dass sie von Interessierten aus diesen Kreisen besucht werden.
C&C-Server-Adressen auf Instagram versteckt
Malware, die einen PC infiziert hat, versucht oft mit einem sogenannten Command & Control-Server zu kommunizieren. Von diesen C&C-Servern erhält sie Anweisungen, zum Beispiel wohin sie Daten schicken soll oder ob sie weitere Malwarekomponenten herunterladen soll.
Wenn es also Security-Experten gelingt, solche C&C-Server zu identifizieren – meist handelt es auch dabei um gehackte Server, deren eigentliche Besitzer nichts Böses ahnen – dann können sie diese Kommunikation unterbinden. Deshalb versuchen Malware-Entwickler, die Adressen der von der Malware aufgerufenen Server durch immer neue Methoden möglichst gut zu verheimlichen. Im Falle der genannten Firefox-Extension hofften sie dies durch einen Umweg über Instagram zu erreichen.
Die Backdoor ruft nicht direkt einen C&C-Server auf, sondern einen Instagram-Eintrag, ein Foto von Britney Spears. Dort analysiert sie die Kommentare und hasht sie mit einer simplen Hash-Funktion. Kommt dabei der Hash-Wert 183 heraus, wird im Kommentar nach den Zeichen @, | oder # und dem nicht sichtbaren Unicode-Zeichen \200d gesucht. Aus den Buchstaben, die jeweils auf diese Zeichen folgen, setzt die Malware eine Bit-ly-URL zusammen. Diese mittlerweile geblockte URL führte zu einem C&C-Server (static.travelclothes.org/dolR_1ert.php), der von den Angreifern schon früher verwendet wurde, wie Eset schreibt.
Die verwendete Bit-ly-Adresse wurde allerdings nur 17 Mal aufgerufen. Die Security-Experten schliessen daraus, dass es sich um einen Testlauf gehandelt haben könnte. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022