Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa

ESET auf seinem Blog Details zu einem Spionage-Toolkit veröffentlicht, das sensible Regierungs-Informationen von mittel- und osteuropäischen Staaten ausspäht. [...]

SBDH-Malware ist in Mittel- und Osteuropa aktiv. (c) ESET
Die SBDH-Malware ist in Mittel- und Osteuropa aktiv.

Das so genannte „SBDH Toolkit“ ist demnach seit Jahren aktiv, besitzt nach einer Infektion eine lange Lebensdauer und zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen. ESETs SBDH-Analysen wurden http://cccc-2016.com/#presentations - external-link>während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Die Schadsoftware tarnt sich http://www.welivesecurity.com/deutsch/2016/07/04/cyber-spionagewerkzeug-gegen-zentral-und-osteuropa/ - external-link>laut dem Blog-Beitrag mit Hilfe von Icons als vertrauenserweckendes Programm wie Word oder Office. Nach dem Klick durch den Nutzer kontaktiert das Schnüffelwerkzeug einen Server, über den zwei andere Komponenten nachgeladen werden: ein Backdoor sowie ein Tool zum Datendiebstahl. Mit diesen Komponenten können die Angreifer nicht nur die Kontrolle über die Regierungscomputer übernehmen, sondern auch gezielt an sensible Daten kommen.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden.

Die SBDH-Malware stellt über HTTP eine Verbindung zum Kontroll-Server her. Ist dies nicht möglich, weicht die Schadsoftware auf SMTP aus. Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig. Im Rahmen der technischen Analyse zeigten sich den ESET-Forschern Ähnlichkeiten mit den schädlichen Komponenten der Operation Buhtrap, die es ebenso auf Dateien im Staatsdienst abgesehen hat.

Beide Malware-Kampagnen zeigen, dass selbst hochentwickelte Schädlinge einfach Infektionsvektoren wie E-Mail nutzen und es letztlich der Nutzer ist, der durch geschickte Täuschung die Ausführung herbeiführt.

Der Name, den ESET dem Cyber-Spionagewerkzeug gegeben hat – also SBDH – wurde übrigens aus einem im Code gefundenen „B64SBDH“-String abgeleitet. Es ist der Trigger, der das kompromittierte System dazu veranlasst, die zwei zusätzlichen Module herunterzuladen. (pi/rnf)

Werbung

Mehr Artikel

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.