Malware-as-a-Service Adwind trifft mehr als 400.000 Nutzer weltweit

Auf der SAS 2016 berichten unsere Experten von GReAT von einer Java-basierten Multi-Plattform-Malware, die von hunderten Cyberkriminellen verschiedener Sparten genutzt wird

Auf dem Security Analyst Summit 2016 hat unser globales Recherche und Analyseteam (GReAT) eine umfassende Studie über das Remote Access Tool (RAT) Adwind veröffentlicht. Dieses bösartige Tool ist auch bekannt unter den Namen AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat. Es wurde über einen Zeitraum von mehreren Jahren entwickelt und wird nun über eine Malware-as-a-Service-Plattform vertrieben – für einen kleinen Betrag (20–265 EUR) kann somit jeder das bösartige Tool für seine Zwecke verwenden.

Unsere GReAT-Forscher haben die Malwareplattform nach einem gezielten Angriffsversuch auf eine Bank in Singapur aufgetan. Die Schadsoftware war in Form einer bösartigen Java-Datei im Anhang einer Spear-Phishing-Mail an einen Mitarbeiter der betroffenen Bank verschickt worden – geradezu ein Paradebeispiel der Malwaredistribution.

Einige Merkmale dieses Schadprogramms weckten besonderes Interesse bei den Forschern: Zunächst einmal war die Malware für den Einsatz auf verschiedenen Plattformen konzipiert – abgesehen von Windows-, konnte sie auch Linux-, OS-X- und Android-Betriebssysteme infizieren. Obwohl Java keine typische Malwareplattform ist, stellt es dennoch – nach dem Flash-Plugin von Adobe – die zweitgrößte Softwaresicherheitslücke dar und ist auf laufende Sicherheitsaktualisierungen angewiesen. Java-Anwendungen laufen grundsätzlich auf jedem Betriebssystem. Das macht Java zur idealen Umgebung für diejenigen, die Malware für verschiedene Betriebssysteme entwickeln wollen. Oracle unternimmt daher große Anstrengungen, um Java sicherer zu machen.

Die zweite Auffälligkeit der neu entdeckten Schadsoftware war, dass sie von keiner Antivirussoftware erkannt wurde.

Darüber hinaus war die Malware überaus leistungsfähig – die Liste möglicher Funktionen ist schier endlos: Aufzeichnung von Tastatureingaben, Stehlen von im Cache gespeicherten Passwörtern, VPN-Zertifikaten, Passwörtern für Konten von Kryptowährungen, Bildschirmaufnahmen, Videoaufzeichnungen, Fotos und Audioaufnahmen über das Mikrofon oder die Webcam des Computers, Aufzeichnung von Nutzerdaten und Systeminformationen, sowie Verwaltung von SMS (für Android). Cyberkriminelle waren in ihren Möglichkeiten lediglich durch ihre eigenen Fähigkeiten und ihre Fantasie eingeschränkt.

Kurz gesagt: es handelt sich um eine sehr mächtige, plattformübergreifende Spionagesoftware. Im Laufe der Nachforschungen über den Einsatz der Malware kamen unsere Forscher zu dem Schluss, dass die Geschichte vom bösartigen Toolkit Adwind weit spannender ist, als zunächst angenommen.

Es stellte sich heraus, dass die Schadsoftware seit mehreren Jahren fortwährend weiterentwickelt wird – die ersten Probeversionen reichen in das Jahr 2012 zurück. Dabei hatte die Malware zu unterschiedlichen Zeitpunkten unterschiedliche Namen: 2012 tauchte sie erstmal unter dem Namen Frutas auf, 2013 hieß sie Adwind, 2014 Unrecom und AlienSpy und 2015 wurde sie schließlich JSocket genannt.

Die Experten von GReAT vermuten, dass hinter der Adwind-Plattform ein einziger Entwickler steht, der seit mindestens vier Jahren unermüdlich an der Entwicklung der Malware, sowie neuen Features und Modulen arbeitet. Trotz vorhandener Java-Sicherheitslücken, musste der Entwickler der Adwind-Malware sich mit einigen Tricks behelfen, um seine Schadsoftware zum Laufen zu bringen. Zwar kann es sein, dass einige Aufgaben an externe Partner abgegeben wurden, aber der Arbeitsaufwand scheint durch die Einkünfte gedeckt zu sein: unseren Berechnungen nach könnte die Malware-as-a-Service jährliche Einnahmen von 180.000 EUR einbringen. Allerdings ist die neueste Version des Portals erst seit Sommer 2015 online, so dass der Cyberkriminelle möglicherweise noch auf das große Geld wartet.

Anfangs hatte die Plattform eine spanische Benutzeroberfläche, aber mittlerweile ist sie auf Englisch verfügbar. Mit diesem Update gelang Adwind weltweit der Durchbruch – Cyberkriminelle aller Sparten nutzen die Malware, unter ihnen Onlinebetrüger, unfaire Businesskonkurrenten und Cybersöldner, die angeheuert werden, um Personen oder Unternehmen auszuspionieren. Kurzum, jeder, der jemand anderen ausspionieren möchte, kann Adwind für seine Zwecke nutzen.

Auch die geografische Verteilung der Opfer hat sich in den vergangenen Jahren geändert. 2013 waren arabische und spanischsprachige Länder unter Beschuss. Im darauffolgenden Jahr zielten Kriminelle auf die Türkei und Indien ab, danach auf die Vereinigten Arabischen Emirate, die USA und Vietnam. 2015 war Russland an erster Stelle, gefolgt von den Vereinigten Arabischen Emiraten, der Türkei, den USA und Deutschland. Dieser Wechsel kommt dadurch zustande, dass Adwind nun als Malware-as-a-Service von Cyberkriminellen auf der ganzen Welt gekauft und eingesetzt wird.

Soweit wir wissen, gab es in diesen vier Jahren mehr als 443.000 Opfer. Es ist außerdem zu erwähnen, dass die Zahl der Infektionen Ende 2015 rapide angestiegen ist. Von August 2015 bis Januar 2016 waren mehr als 68.000 Nutzer der Adwind-Malware ausgesetzt. Darüber hinaus tauchte der Name Adwind im August 2015 im Zusammenhang mit einer Cyberspionage-Geschichte auf: Es stellte sich heraus, dass eine der Adwind-Lösungen namens AlienSpy genutzt worden war, um einen argentinieschen Staatsanwalt auszuspionieren, der unter mysteriösen Umständen im Januar 2015 tot in seiner Wohnung aufgefunden worden war.

Kriminelle, die das Adwind-Kit kauften und zum Einsatz brachten, nahmen Privatpersonen, sowie kleine und mittelständige Unternehmen verschiedener Branchen ins Visier: Produktion, Finanzwesen, Maschinenbau, Design, Einzelhandel, Regierung, Spedition, Telekommunikation und viele andere.

Unternehmen raten wir daher dringend dazu, zu überprüfen ob eine Verwendung von Java unabdinglich ist und die Java-Nutzung für alle unberechtigten Quellen zu desaktivieren.

Tipps