10. Juli 2016 Rudolf Felser

Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa

ESET auf seinem Blog Details zu einem Spionage-Toolkit veröffentlicht, das sensible Regierungs-Informationen von mittel- und osteuropäischen Staaten ausspäht. [...]

Das so genannte „SBDH Toolkit“ ist demnach seit Jahren aktiv, besitzt nach einer Infektion eine lange Lebensdauer und zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen. ESETs SBDH-Analysen wurden während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Die Schadsoftware tarnt sich laut dem Blog-Beitrag mit Hilfe von Icons als vertrauenserweckendes Programm wie Word oder Office. Nach dem Klick durch den Nutzer kontaktiert das Schnüffelwerkzeug einen Server, über den zwei andere Komponenten nachgeladen werden: ein Backdoor sowie ein Tool zum Datendiebstahl. Mit diesen Komponenten können die Angreifer nicht nur die Kontrolle über die Regierungscomputer übernehmen, sondern auch gezielt an sensible Daten kommen.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden.

Die SBDH-Malware stellt über HTTP eine Verbindung zum Kontroll-Server her. Ist dies nicht möglich, weicht die Schadsoftware auf SMTP aus. Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig. Im Rahmen der technischen Analyse zeigten sich den ESET-Forschern Ähnlichkeiten mit den schädlichen Komponenten der Operation Buhtrap, die es ebenso auf Dateien im Staatsdienst abgesehen hat.

Beide Malware-Kampagnen zeigen, dass selbst hochentwickelte Schädlinge einfach Infektionsvektoren wie E-Mail nutzen und es letztlich der Nutzer ist, der durch geschickte Täuschung die Ausführung herbeiführt.

Der Name, den ESET dem Cyber-Spionagewerkzeug gegeben hat – also SBDH – wurde übrigens aus einem im Code gefundenen „B64SBDH“-String abgeleitet. Es ist der Trigger, der das kompromittierte System dazu veranlasst, die zwei zusätzlichen Module herunterzuladen. (pi/rnf)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*