Cyberspionagegruppe Sofacy mit neuen hinterhältigen Tools

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift. [...]

Bei Sofacy – auch bekannt als „APT28“, „Fancy Bear“, „Sednit“ oder „STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv.

Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

  • Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.
  • Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.
  • „Air-gaps“: Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als „air-gapped“ bezeichnet.

„Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. „Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an. Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen.“

AUSSERGEWÖHNLICHE ANGRIFFSMETHODEN

Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung „msdeltemp.dll“) heruntergeladen wurde.

Beim Trojaner „msdeltemp.dll“ handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner „msdeltemp.dll“ zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

„AIR GAPPED“-NETZWERKE IM VISIER

Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von „air-gapped“-Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden.

Organisationen können sich Kaspersky zufolge gegen APT-Attacken wie Sofacy schützen, indem sie einen mehrschichtigen Sicherheitsansatz mit

  • traditionellen Anti-Malware-Technologien,
  • Patch Management,
  • Host Intrustion Detection-Technologien,
  • sowie Whitelisting und Default-Deny-Strategien kombinieren. (pi)

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*