Cyberspionage auf Topniveau auch in Deutschland, Österreich und der Schweiz
Im Jahr 2013 attackierte die Hackergruppe „Wild Neutron“ – auch als „Jripbot” oder „Morpho” bekannt – einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft. Anschließend verschwanden die Wild-Neutron-Angreifer für fast ein Jahr von der Bildfläche. Ende des Jahres 2013 beziehungsweise Anfang des Jahres 2014 wurden die Attacken fortgesetzt und liefen bis in das Jahr 2015 weiter. Eine neue Kaspersky-Analyse [1] zeigt, dass mittels eines gestohlenen, gültigen Codeverifizierungszertifikats sowie einer unbekannten Lücke im Flash Player weltweit die Systeme von Unternehmen und Privatpersonen infiziert und kritische Unternehmensinformationen gestohlen werden.
Kaspersky Lab konnte bisher Zielobjekte in elf Ländern identifizieren: neben Deutschland, Österreich und der Schweiz auch in Frankreich, Russland, Palästina, Slowenien, Kasachstan, den Vereinigten Arabische Emiraten, Algerien sowie den USA.
Attackiert wurden Anwaltssozietäten, Unternehmen im Bitcoin-Umfeld, Investmentgesellschaften, einige in M&A-Geschäfte (Mergers & Acquisitions) involvierte Firmen, IT-Unternehmen, Firmen innerhalb der Gesundheits- und Immobilien-Branche sowie Einzelpersonen.
Die Attacke scheint nicht von Nationalstaaten unterstützt zu werden. Es handelt sich wohl eher um einen mächtigen Akteur für Wirtschaftsspionage. Darauf deuten die Nutzung von Zero-Day-Exploits, Multi-Plattform-Malware sowie andere Technologien hin.
„Bei Wild Neutron handelt es sich um eine erfahrene und ziemlich vielseitige Gruppe, die seit 2011 aktiv ist und seitdem mindestens einen Zero-Day-Exploit, maßgeschneiderte Malware sowie Tools für Windows und OS X nutzt“, so Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Obwohl die Gruppe in der Vergangenheit einige der bekanntesten Unternehmen der Welt angegriffen hat, hat sie es geschafft, sich über zuverlässige Sicherheitsprozesse im Hintergrund zu halten. Dass die Gruppe große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Foren von Dschihadisten (das „Ansar Al-Mujahideen English Forum”) sowie Bitcoin-Unternehmen im Visier hat, weist auf flexible und unübliche Interessen hin.“
Das Angriffsszenario
Über welchen Weg die Erstinfektion stattfindet, ist noch unklar. Es gibt allerdings klare Anzeichen dafür, dass die Opfer über ein Kit infiziert werden, das ein unbekanntes Flash-Player-Exploit über kompromittierte Webseiten ausnutzt. Das Exploit liefert ein Malware-Dropper-Paket [2] an das Opfersystem aus.
In den von Kaspersky Lab beobachteten Attacken war der Dropper mit einem legitimen Codeverifizierungszertifikat signiert. So kann die Malware die Entdeckung von einigen Schutzlösungen umgehen. Das bei den Wild-Neutron-Angriffen genutzte Zertifikat scheint von einem beliebten Anbieter für Unterhaltungselektronik gestohlen worden zu sein und ist nun annulliert worden.
Ist der Dropper im System, installiert er ein Backdoor-Modul, das sich grundsätzlich nicht von anderen Remote Access Tools (RATs) unterscheidet. Allerdings sticht die Sorgfalt der Angreifer heraus, die Adressen der verwendeten Command-and-Control-Server (C&C) sowie die Wiederherstellungsfähigkeit nach einer C&C-Abschaltung zu verbergen. Die C&C-Server sind ein wichtiger Bestandteil einer gefährlichen Infrastruktur; sie sind die Basis für die auf den Opfermaschinen befindliche Schadsoftware. Spezielle in der Malware eingebaute Funktionen unterstützen die Angreifer dabei, ihre Infrastruktur vor einer möglichen C&C-Abschaltung zu schützen.
Mysteriöse Herkunft
Der Ursprung der Angreifer bleibt ein Rätsel. Bei einigen Samples beinhaltet die verschlüsselte Konfiguration die Zeichenfolge „La revedere” („Auf Wiedersehen” auf Rumänisch), um das Ende der C&C-Kommunikation zu kennzeichnen. Zudem haben die Experten von Kaspersky Lab eine weitere nichtenglische Zeichenfolge entdeckt, die eine lateinische Übersetzung des russischen Wortes „Успешно“ („uspeshno“, deutsch: „erfolgreich“) darstellt.
Die Produkte von Kaspersky Lab entdecken und blockieren die Schädlinge von Wild Neutron unter den folgenden Bezeichnungen: „Trojan.Win32.WildNeutron.gen“, „Trojan.Win32.WildNeutron.*“, „Trojan.Win32.JripBot.*“ sowie „Trojan.Win32.Generic“.
Eine detaillierte Analyse zu Wild Neutron ist unter https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks abrufbar.
[1] https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks
[2] https://de.wikipedia.org/wiki/Dropper
Nützliche Links:
- Analyse zu Wild Neutron: https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks
- Infografik: Karte mit infizierten Systemen: http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_map_wildneutron.jpg
- Video “Hunting the Hunter: https://kas.pr/2Dtf
