Wild Neutron: Cyberspionage auf Topniveau auch in Österreich Wild Neutron: Cyberspionage auf Topniveau auch in Österreich - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.07.2015 pi/Rudolf Felser

Wild Neutron: Cyberspionage auf Topniveau auch in Österreich

2013 attackierte die Hackergruppe "Wild Neutron" einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft – und verschwand wieder. Kaspersky Lab ist ihr auf der Spur.

Wild Neutron – Karte mit infizierten Systemen

Wild Neutron – Karte mit infizierten Systemen

© Kaspersky Lab

Im Jahr 2013 attackierte die Hackergruppe "Wild Neutron" – auch als "Jripbot” oder "Morpho” bekannt – einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft. Anschließend verschwanden die Wild-Neutron-Angreifer für fast ein Jahr von der Bildfläche. Ende des Jahres 2013 beziehungsweise Anfang des Jahres 2014 wurden die Attacken fortgesetzt und liefen bis in das Jahr 2015 weiter. Eine neue Kaspersky-Analyse zeigt, dass mittels eines gestohlenen, gültigen Codeverifizierungszertifikats sowie einer unbekannten Lücke im Flash Player weltweit die Systeme von Unternehmen und Privatpersonen infiziert und kritische Unternehmensinformationen gestohlen werden.

Kaspersky Lab konnte bisher Zielobjekte in elf Ländern identifizieren: neben Deutschland, Österreich und der Schweiz auch in Frankreich, Russland, Palästina, Slowenien, Kasachstan, den Vereinigten Arabische Emiraten, Algerien sowie den USA.

Attackiert wurden Anwaltssozietäten, Unternehmen im Bitcoin-Umfeld, Investmentgesellschaften, einige in M&A-Geschäfte (Mergers & Acquisitions) involvierte Firmen, IT-Unternehmen, Firmen innerhalb der Gesundheits- und Immobilien-Branche sowie Einzelpersonen.

Die Attacke scheint nicht von Nationalstaaten unterstützt zu werden. Es handelt sich wohl eher um einen mächtigen Akteur für Wirtschaftsspionage. Darauf deuten die Nutzung von Zero-Day-Exploits, Multi-Plattform-Malware sowie andere Technologien hin.

"Bei Wild Neutron handelt es sich um eine erfahrene und ziemlich vielseitige Gruppe, die seit 2011 aktiv ist und seitdem mindestens einen Zero-Day-Exploit, maßgeschneiderte Malware sowie Tools für Windows und OS X nutzt", so Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. "Obwohl die Gruppe in der Vergangenheit einige der bekanntesten Unternehmen der Welt angegriffen hat, hat sie es geschafft, sich über zuverlässige Sicherheitsprozesse im Hintergrund zu halten. Dass die Gruppe große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Foren von Dschihadisten (das "Ansar Al-Mujahideen English Forum”) sowie Bitcoin-Unternehmen im Visier hat, weist auf flexible und unübliche Interessen hin."

DAS ANGRIFFSSZENARIO

Über welchen Weg die Erstinfektion stattfindet, ist noch unklar. Es gibt allerdings klare Anzeichen dafür, dass die Opfer über ein Kit infiziert werden, das ein unbekanntes Flash-Player-Exploit über kompromittierte Webseiten ausnutzt. Das Exploit liefert ein Malware-Dropper-Paket (eine eigenständig ausführbare Programm-Datei, die der meist erstmaligen Freisetzung eines Computervirus dient) an das Opfersystem aus.

In den von Kaspersky Lab beobachteten Attacken war der Dropper mit einem legitimen Codeverifizierungszertifikat signiert. So kann die Malware die Entdeckung von einigen Schutzlösungen umgehen. Das bei den Wild-Neutron-Angriffen genutzte Zertifikat scheint von einem beliebten Anbieter für Unterhaltungselektronik gestohlen worden zu sein und ist nun annulliert worden.

Ist der Dropper im System, installiert er ein Backdoor-Modul, das sich grundsätzlich nicht von anderen Remote Access Tools (RATs) unterscheidet. Allerdings sticht die Sorgfalt der Angreifer heraus, die Adressen der verwendeten Command-and-Control-Server (C&C) sowie die Wiederherstellungsfähigkeit nach einer C&C-Abschaltung zu verbergen. Die C&C-Server sind ein wichtiger Bestandteil einer gefährlichen Infrastruktur; sie sind die Basis für die auf den Opfermaschinen befindliche Schadsoftware. Spezielle in der Malware eingebaute Funktionen unterstützen die Angreifer dabei, ihre Infrastruktur vor einer möglichen C&C-Abschaltung zu schützen.

Der Ursprung der Angreifer bleibt Kaspersky Lab zufolge ein Rätsel. Bei einigen Samples beinhaltet die verschlüsselte Konfiguration die Zeichenfolge "La revedere” ("Auf Wiedersehen” auf Rumänisch), um das Ende der C&C-Kommunikation zu kennzeichnen. Zudem haben die Experten von Kaspersky Lab eine weitere nichtenglische Zeichenfolge entdeckt, die eine lateinische Übersetzung des russischen Wortes "Успешно" ("uspeshno", deutsch: "erfolgreich") darstellt.

Die Produkte von Kaspersky Lab entdecken und blockieren die Schädlinge von Wild Neutron unter den folgenden Bezeichnungen: "Trojan.Win32.WildNeutron.gen", "Trojan.Win32.WildNeutron.*", "Trojan.Win32.JripBot.*" sowie "Trojan.Win32.Generic". (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • catWorkX GmbH

    catWorkX GmbH mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: