Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.07.2016 Rudolf Felser

Cyberspionage auf Regierungsdaten in Mittel- & Osteuropa

ESET auf seinem Blog Details zu einem Spionage-Toolkit veröffentlicht, das sensible Regierungs-Informationen von mittel- und osteuropäischen Staaten ausspäht.

SBDH-Malware ist in Mittel- und Osteuropa aktiv.

Die SBDH-Malware ist in Mittel- und Osteuropa aktiv.

© ESET

Das so genannte "SBDH Toolkit" ist demnach seit Jahren aktiv, besitzt nach einer Infektion eine lange Lebensdauer und zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen. ESETs SBDH-Analysen wurden während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Die Schadsoftware tarnt sich laut dem Blog-Beitrag mit Hilfe von Icons als vertrauenserweckendes Programm wie Word oder Office. Nach dem Klick durch den Nutzer kontaktiert das Schnüffelwerkzeug einen Server, über den zwei andere Komponenten nachgeladen werden: ein Backdoor sowie ein Tool zum Datendiebstahl. Mit diesen Komponenten können die Angreifer nicht nur die Kontrolle über die Regierungscomputer übernehmen, sondern auch gezielt an sensible Daten kommen.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden.

Die SBDH-Malware stellt über HTTP eine Verbindung zum Kontroll-Server her. Ist dies nicht möglich, weicht die Schadsoftware auf SMTP aus. Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig. Im Rahmen der technischen Analyse zeigten sich den ESET-Forschern Ähnlichkeiten mit den schädlichen Komponenten der Operation Buhtrap, die es ebenso auf Dateien im Staatsdienst abgesehen hat.

Beide Malware-Kampagnen zeigen, dass selbst hochentwickelte Schädlinge einfach Infektionsvektoren wie E-Mail nutzen und es letztlich der Nutzer ist, der durch geschickte Täuschung die Ausführung herbeiführt.

Der Name, den ESET dem Cyber-Spionagewerkzeug gegeben hat – also SBDH – wurde übrigens aus einem im Code gefundenen "B64SBDH"-String abgeleitet. Es ist der Trigger, der das kompromittierte System dazu veranlasst, die zwei zusätzlichen Module herunterzuladen. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: