Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa

ESET auf seinem Blog Details zu einem Spionage-Toolkit veröffentlicht, das sensible Regierungs-Informationen von mittel- und osteuropäischen Staaten ausspäht. [...]

Das so genannte „SBDH Toolkit“ ist demnach seit Jahren aktiv, besitzt nach einer Infektion eine lange Lebensdauer und zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen. ESETs SBDH-Analysen wurden während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Die Schadsoftware tarnt sich laut dem Blog-Beitrag mit Hilfe von Icons als vertrauenserweckendes Programm wie Word oder Office. Nach dem Klick durch den Nutzer kontaktiert das Schnüffelwerkzeug einen Server, über den zwei andere Komponenten nachgeladen werden: ein Backdoor sowie ein Tool zum Datendiebstahl. Mit diesen Komponenten können die Angreifer nicht nur die Kontrolle über die Regierungscomputer übernehmen, sondern auch gezielt an sensible Daten kommen.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden.

Die SBDH-Malware stellt über HTTP eine Verbindung zum Kontroll-Server her. Ist dies nicht möglich, weicht die Schadsoftware auf SMTP aus. Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig. Im Rahmen der technischen Analyse zeigten sich den ESET-Forschern Ähnlichkeiten mit den schädlichen Komponenten der Operation Buhtrap, die es ebenso auf Dateien im Staatsdienst abgesehen hat.

Beide Malware-Kampagnen zeigen, dass selbst hochentwickelte Schädlinge einfach Infektionsvektoren wie E-Mail nutzen und es letztlich der Nutzer ist, der durch geschickte Täuschung die Ausführung herbeiführt.

Der Name, den ESET dem Cyber-Spionagewerkzeug gegeben hat – also SBDH – wurde übrigens aus einem im Code gefundenen „B64SBDH“-String abgeleitet. Es ist der Trigger, der das kompromittierte System dazu veranlasst, die zwei zusätzlichen Module herunterzuladen. (pi/rnf)


Mehr Artikel

News

Künstliche Intelligenz kommt auf Endgeräten an

Das Jahr 2025 wird an vielen Stellen für Umbrüche und Neuerungen sorgen. Ein genereller Trend ist dabei der weiter greifende Einsatz von KI-Funktionen: Unternehmen werden immer mehr Anwendungsfälle erkennen sowie implementieren – und dabei auch verstärkt auf lokale KI-Ressourcen und On-Prem-Hardware zurückgreifen. […]

News

7 KI-Trends, die das Jahr 2025 prägen werden

2025 wird wegweisend für die Weiterentwicklung der Künstlichen Intelligenz. Experten weltweit arbeiten daran, KI praxisnäher, präziser und vertrauenswürdiger zu machen. Mit besonderem Blick auf Datenarbeit skizziert Michael Berthold, CEO von KNIME, sieben wichtige Trends. […]

Florian Brence, Partner bei Deloitte Österreich (c) Deloitte
News

Diese Trends bestimmen die Tech-Welt 2025

Deloitte-Analyse: Auch wenn der erste mediale Hype vorbei ist, wird vor allem das Thema Generative Artificial Intelligence (GenAI) den Markt in den kommenden Monaten aufmischen. Die Branche muss sich auf einen Umbruch einstellen, der neben Chancen und Potenzialen auch einige Herausforderungen bringen wird. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*