10. Juli 2016 Rudolf Felser

Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa

ESET auf seinem Blog Details zu einem Spionage-Toolkit veröffentlicht, das sensible Regierungs-Informationen von mittel- und osteuropäischen Staaten ausspäht. [...]

Das so genannte „SBDH Toolkit“ ist demnach seit Jahren aktiv, besitzt nach einer Infektion eine lange Lebensdauer und zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen. ESETs SBDH-Analysen wurden während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Die Schadsoftware tarnt sich laut dem Blog-Beitrag mit Hilfe von Icons als vertrauenserweckendes Programm wie Word oder Office. Nach dem Klick durch den Nutzer kontaktiert das Schnüffelwerkzeug einen Server, über den zwei andere Komponenten nachgeladen werden: ein Backdoor sowie ein Tool zum Datendiebstahl. Mit diesen Komponenten können die Angreifer nicht nur die Kontrolle über die Regierungscomputer übernehmen, sondern auch gezielt an sensible Daten kommen.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden.

Die SBDH-Malware stellt über HTTP eine Verbindung zum Kontroll-Server her. Ist dies nicht möglich, weicht die Schadsoftware auf SMTP aus. Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig. Im Rahmen der technischen Analyse zeigten sich den ESET-Forschern Ähnlichkeiten mit den schädlichen Komponenten der Operation Buhtrap, die es ebenso auf Dateien im Staatsdienst abgesehen hat.

Beide Malware-Kampagnen zeigen, dass selbst hochentwickelte Schädlinge einfach Infektionsvektoren wie E-Mail nutzen und es letztlich der Nutzer ist, der durch geschickte Täuschung die Ausführung herbeiführt.

Der Name, den ESET dem Cyber-Spionagewerkzeug gegeben hat – also SBDH – wurde übrigens aus einem im Code gefundenen „B64SBDH“-String abgeleitet. Es ist der Trigger, der das kompromittierte System dazu veranlasst, die zwei zusätzlichen Module herunterzuladen. (pi/rnf)


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*