Kaspersky Lab hat Hinweise auf eine zuvor unbekannte Attacke der russischsprachigen APT-Gruppe BlackEnergy entdeckt
Kaspersky Lab hat Hinweise auf eine zuvor unbekannte Attacke der russischsprachigen APT-Gruppe BlackEnergy entdeckt [1]. Die Experten des Unternehmens fanden ein Spear-Phishing-Dokument, in dem einerseits die ukrainisch-nationalistische Partei „Right Sector“ erwähnt wurde und das andererseits im Zusammenhang mit einer Attacke gegen einen beliebten Fernsehsender in der Ukraine auftauchte.
Bei BlackEngergy handelt es sich um einen hochdynamischen Bedrohungsakteur. Jüngste Attacken in der Ukraine deuten darauf hin, dass es die Angreifer auf zerstörerische Aktionen abgesehen haben. Hinzu kommen die Kompromittierung industrieller Steuerungsinstallationen sowie Cyberspionageaktivitäten. Während BlackEnergy anfänglich auf bösartige DDoS-Software setzte, verfügt die Gruppe nun über ein großes Arsenal an Tools. Diese wurden in verschiedenen APT-typischen Aktivitäten (APT=Advanced Persistent Threat) eingesetzt, darunter geopolitische Operationen wie beispielsweise eine Angriffswelle auf verschiedene kritische Bereiche der Ukraine Ende des Jahres 2015.
Da BlackEnergy mehrere Male unentdeckt blieb, setzte der Akteur seine Aktivitäten fort und stellt eine signifikante Gefahr dar.
Spear-Phishing mit Word- und Excel-Dateien
Seit Mitte des Jahres 2015 nutzt BlackEnergy aktiv Spear-Phishing-E-Mails, die ein maliziöses Excel-Dokument mit Makros zur Infizierung von Computern innerhalb eines anvisierten Netzwerks enthalten. Im Januar 2016 entdeckten die Experten von Kaspersky Lab ein neues bösartiges Dokument, das Systeme mit dem BlackEnergy-Trojaner infiziert. Hierbei handelte es sich allerdings nicht um ein Excel-, sondern um ein Word-Dokument.
Wird das Dokument geöffnet, wir dem Nutzer vorgeschlagen, Makros zu aktivieren, um die Inhalte sehen zu können. Aktiviert man die Makros, wird die Malware-Infektion von BlackEnergy ausgelöst.
Ist das Schadprogramm auf einem Opfercomputer aktiviert, sendet es Basisinformationen über den infizierten Rechner an seinen Comand-and-Control-Server (C&C). Eine vom Schadprogramm gesendete Information enthält eine Zeichenkette (String), die auf die Opfer-ID schließen lässt. Das von den Kaspersky-Experten analysierte Dokument enthielt die Bezeichnung „301018stb“, hierbei könnte „stb“ für den ukrainischen Fernsehsender STB [2] stehen. Die TV-Station wurde zuvor als ein Opfer der BlackEnergy-Wiper-Attacken im Oktober 2015 genannt.
Nach der Infektion können zusätzliche bösartige Module heruntergeladen werden. Die Funktionen solcher zusätzlicher Nutzlasten hängen von der jeweils eingesetzten Trojaner-Version ab und variieren von Cyberspionage bis zu Datenlöschungen.
„In der Vergangenheit hat die BlackEnergy-Gruppe Zielobjekte in der Ukraine über Excel- und Power-Point-Dokumente anvisiert. Dass auch Word-Dokumente eingesetzt werden, konnte erwartet werden und bestätigte unsere Vermutungen“, sagt Costin Raiu, Director Global Research & Analysis Team bei Kaspersky Lab. „Generell sehen wir, dass die Nutzung von Makros in Word-Dokumenten bei APT-Angriffen immer häufiger zum Einsatz kommen, beispielsweise setzte auch die von uns beobachtete Turla-APT-Gruppe Dokumente mit Makros ein, um eine ähnliche Attacke durchzuführen. Wir gehen daher davon aus, dass zahlreiche solcher Attacken erfolgreich sind und daher bei den Angreifern auch immer beliebter werden.“
Frühere BlackEnergy-Attacken gegen Industrie- und Energiesektor
Kaspersky Lab wurde auf die BlackEngergy bereits im Jahr 2014 aufmerksam. Damals begann die Gruppe damit, SCADA-bezogene Plugins an Opfer aus dem Industrie- (ICS, Industrial Control System) und den Energiesektor weltweit zu verbreiteten. Das führte zu der Folgerung, dass diese Gruppe vor allem in den folgenden Bereichen aktiv ist:
- ICS, Energie, staatliche Einrichtungen und Medien in der Ukraine
- ICS/SCADA-Firmen weltweit
- Energieunternehmen weltweit
Kaspersky Lab hat bereits über die im Zusammenhang mit BlackEnergy stehenden DDoS-Attacken [3] sowie deren destruktive Nutzlasten, Ausnutzung von Siemens-Systemen [4] sowie Router-Angriffs-Plugins [5] berichtet.
Die Lösungen von Kaspersky Lab erkennen die verschiedenen von BlackEnergy genutzten Trojaner als „Backdoor.Win32.Fonten.*“ und „HEUR:Trojan-Downloader.Script.Generic“.
Details über die BlackEnergy-APT-Gruppe sind unter https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/ verfügbar.
Informationen über die Kaspersky Intelligence Services finden sich unter http://www.kaspersky.com/de/enterprise-security/intelligence-services
[3]https://securelist.com/analysis/publications/36309/black-ddos/
[4]https://securelist.com/blog/research/68838/be2-extraordinary-plugins-siemens-targeting-dev-fails/
Nützliche Links:
- Analyse zu BlackEnergy: https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/
- Kaspersky Intelligence Services: http://www.kaspersky.com/de/enterprise-security/intelligence-services