Â
Moskau/lngolstadt, 11. März 2015 - Von Nationalstaaten unterstützte
Cyberspionage-Attacken werden immer raffinierter, nehmen mit komplexen,
modularen Werkzeugen sorgfältig ausgewählte Nutzer ins Visier und
verbergen sich vor effektiven Detektionssystemen. Diese Erkenntnisse
liefert eine neue Analyse von Kaspersky Lab der Cyberspionageplattform
EquationDrug [1], die von der kürzlich enttarnten Equation Group [2]
mindestens zehn Jahre lang genutzt wurde. Inzwischen hat die noch
ausgereiftere GrayFish-Plattform ihre Nachfolge angetreten.
Â
Nach Erkenntnissen der Kaspersky-Experten begegnen die
fortschrittlichsten Bedrohungsakteure der zunehmenden Aufdeckung von
APT-Attacken (Advanced Persistent Threats) durch die Industrie und
fokussieren sich auf eine wachsende Anzahl von Komponenten in ihren
Cyberspionage-Plattformen sowie auf eine verbesserte Tarnung.
Â
Die jüngsten Spionageplattformen verfügen über zahlreiche Plugin-Module,
mit denen eine Reihe unterschiedlicher Funktionen ausgewählt und
ausgeführt werden können - abhängig vom anvisierten Opfer und den
verfügbaren Informationen. Kaspersky Lab geht davon aus, dass die
Plattform EquationDrug 116 verschiedene Plugins beinhaltet.
Â
„Nationalstaatliche Angreifer versuchen ihre Spionagewerkzeuge noch
stabiler, unsichtbarer, zuverlässiger und universeller zu gestalten. Sie
konzentrieren sich darauf, ein Framework zu schaffen, dessen Code so
verpackt wird, dass dieser auf Live-Systemen angepasst werden kann.
Zudem wird eine Möglichkeit geschaffen, alle Komponenten und Daten
verschlüsselt und für normale Nutzer unzugänglich zu speichern", so
Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky
Lab. „Die Ausgereiftheit solcher Frameworks unterscheidet sich von der
Vorgehensweise traditioneller Cyberkrimineller, die eher direkte
finanzielle Gewinne erzielen wollen."
Â
Nationalstaatliche versus cyberkriminelle Attacken
Â
Gemäß der aktuellen Kaspersky-Analyse der EquationDrug-Plattform
kristallisieren sich weitere Unterschiede im Vergleich zu traditionellen
Cyberkriminellen heraus:
Â
Massen-E-Mails mit gefährlichen Anhängen oder infizieren Webseiten in
größerem Umfang. Nationalstaatlich unterstützte Akteure setzen dagegen
auf sehr gezielte und präzise durchgeführte Attacken, mit denen sie
lediglich wenige ausgewählte Nutzer infizieren.
Â
Regel öffentlich zugänglichen Quellcode wiederverwenden - wie zum
Beispiel bei den bekannten Trojanern Zeus oder Carberb - erstellen
nationalstaatliche Akteure einzigartige und angepasste Malware,
inklusive der Implementierung von Einschränkungen, mit denen die
Entschlüsselung und die Ausführung außerhalb eines anvisierten Computers
verhindert wird.
Â
normalerweise, so viele Nutzer wie möglich zu infizieren. Allerdings
mangelt es ihnen an Zeit und Speicherplatz, um sämtliche infizierte
Maschinen manuell zu prüfen, wer etwa die infizierte Maschine nutzt,
welche Daten dort gespeichert sind und welche Software darauf läuft -
mit dem Ziel, potenziell interessante Informationen entwenden und
abspeichern zu können. Nationalstaatlich unterstützte Angreifer können
hingegen so viele Informationen speichern, wie sie möchten. Um
Aufmerksamkeit zu vermeiden und nicht auf dem Radar von
Security-Lösungen aufzutauchen, versuchen sie, massenhafte und zufällige
Infizierungen zu vermeiden. Sie setzen stattdessen auf generische
Remote-System-Management-Werkzeuge, mit denen jegliche Information in
beliebigem Umfang kopiert werden kann. Einziger Hinweis auf eine solche
Infizierung: die verlangsamte Netzwerkverbindung durch das Bewegen
großer Datenmengen.
Â
„Auf den ersten Blick erscheint es etwas unüblich, dass eine so mächtige
Cyberspionage-Plattform wie EquationDrug nicht alle Fähigkeiten zum
Informationsdiebstahl standardisiert in ihren Malware-Kern integriert.
Dies liegt daran, dass die Hintermänner für jedes Opfer
individualisierte Attacken bevorzugen. Nutzer, die aktiv beobachtet
werden sollen und deren Sicherheitsprodukte auf den entsprechenden
Rechnern außer Gefecht gesetzt worden sind, erhalten Plugins, mit denen
Konversationen oder spezifische mit Nutzeraktivitäten verbundene
Funktionen mitverfolgt werden können. Wir gehen davon aus, dass sich in
Zukunft ein modularer Aufbau sowie eine individuelle Anpassung als
Markenzeichen nationalstaatlicher Angriffe etablieren werden", so Costin
Raiu weiter.
Â
Die Produkte von Kaspersky Lab entdeckten zahlreiche Angriffsversuche,
bei denen die Nutzer mit Hilfe von Sicherheitslücken (Exploits)
attackiert wurden, die von der Malware der Equation Group verwendet
wurden. Viele dieser Attacken konnten über die Kaspersky-Technologie
Automatischer Exploit-Schutz [3] verhindert werden, mit der generell das
Ausnutzen von Schwachstellen entdeckt und blockiert werden kann. Der
Fanny-Wurm als Teil der Equation-Plattform [4] wurde voraussichtlich im
Juli 2008 erstellt und im Dezember des selben Jahres von den
automatisierten Systemen von Kaspersky Lab entdeckt und auf die
Blacklist gesetzt.
Â
Â
Weitere Informationen zur EquationDrug-Plattform sind unter
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/
verfügbar.
Â
Â
[1]
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/
[2]
http://newsroom.kaspersky.eu/de/texte/detail/article/equation-group-die-mutter-der-cyber-spionage/
/ siehe auch folgende Zeitlinien-Infografik:
[3]
http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf
Â
[4]
Â
Â
Â
Es wurden leider keine passenden Einträge gefunden