Schlagwort-Archiv: Advanced Persistent Threat

Warnmeldung vom 22. September 2016 zu APT 28

Der Cyberabwehr des BfV liegen Erkenntnisse zu einen Angriff auf zumindest ein deutsches Medienunternehmen vor

Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) liegen Erkenntnisse zu einem versuchten Cyberangriff der Angreifergruppierung APT 28 auf zumindest ein deutsches Medienunternehmen vor. Der Angriff erfolgte über eine Spear-Phishing Mail mit einem darin enthaltenen Link zu einer mit Schadcode infizierten Seite.

Der gespoofte („gefälschte“) Absender lautete heinrich.krammer@hq.nato.int.

Diese Absenderadresse wurde auch bei den im August und September 2016 erfolgten Cyberattacken auf den Deutschen Bundestag, die Partei DIE LINKE und die CDU Saarland genutzt.

Beide Angriffswellen weisen starke technische Überschneidungen auf. Alle bislang festgestellten Angriffsversuche erfolgten zwischen dem 15. August und dem 15. September 2016.
Bei einem der Angriffe wurde statt eines schadhaften Links ein maliziöses Office-Dokument als Anlage verwendet.

Viele der von den Akteuren der APT 28 Kampagne versandten Spear-Phishing Mails sind in der Regel in englischer Sprache verfasst und nehmen Bezug auf ein aktuelles tagespolitisches Ereignis. Das Opfer wird in diesen E-Mails aufgefordert, für weiterführende Informationen einen maliziösen Link oder ein schadhaftes Office-Dokument zu öffnen. Klickt das Opfer auf den Link, wird er auf eine legitime Nachrichtenseite weitergeleitet, während sich im Hintergrund die Schadsoftware automatisch auf seinem Rechner installiert.

Bewertung des BfV

Die Kampagne APT 28 stellt derzeit eine der aktivsten und aggressivsten Cyberspionageoperationen im virtuellen Raum dar. Bei dieser Kampagne bestehen Indizien für eine Steuerung durch staatliche Stellen in Russland.

Dazu erklärte der Präsident des BfV, Dr. Hans-Georg Maaßen:
“Wir beobachten gegenwärtig eine Welle von Cyberattacken, die weit über die bisher bekannten Angriffe gegen den Deutschen Bundestag sowie gegen Parteien hinausgeht. Aufgrund des Modus operandi und der technischen Parameter rechnen wir diese Angriffe der Kampagne APT 28 zu. Die Angriffswelle ist Bestandteil einer der derzeit aktivsten und aggressivsten Cyberspionageoperationen. Bei dieser Kampagne sehen wir Anhaltspunkte für eine Steuerung durch staatliche Stellen in Russland.“

Handlungsempfehlung des BfV

Die Cyberabwehr des BfV empfiehlt eine Überprüfung der E-Mail Postfächer nach der Absenderadresse heinrich.krammer@hq.nato.int.

Zudem wird eine Prüfung empfohlen, ob empfangene E-Mails (z. B. von internationalen Organisationen) tatsächlich von Ihnen auch bekannten Absendern stammen.

Rückmeldungen und Nachfragen an die Cyberabwehr des BfV über die
E-Mailadresse: cyberabwehr@bfv.bund.de

Berüchtigte Cyberspionagegruppe Sofacy mit neuere und fortschrittlichere Werkzeuge im Angriffsarsenal

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der so genannten Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift.

Bei Sofacy – auch bekannt als „APT28“, „Fancy Bear“, „Sednit“ oder „STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv. Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

  • Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.
  • Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.
  • „Air-gaps“: Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als „air-gapped“ bezeichnet.

„Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. „Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an. Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen.“

Die außergewöhnliche Angriffsmethode von Sofacy

Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung „msdeltemp.dll“) heruntergeladen wurde.

Beim Trojaner „msdeltemp.dll“ handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner „msdeltemp.dll“ zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms  über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

USB-Stealer attackiert „air-gapped“ Netzwerke

Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von „air-gapped“ Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden.

Von Kaspersky Lab empfohlene Schutzstrategien

Die Lösungen von Kaspersky Lab erkennen die folgenden neuen von der Sofacy-Gruppe eingesetzten Malware-Samples: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic

Organisationen können sich gegen APT-Attacken wie Sofacy schützen, indem sie einen mehrschichtigen Sicherheitsansatz mit

  • traditionelle Anti-Malware-Technologien,
  • Patch Management,
  • Host Intrustion Detection-Technologien,
  • sowie Whitelisting und Default-Deny-Strategien kombinieren.

 

Quelle: Kaspersky Lab DACH
Weitere Informationen finden Sie unter: http://newsroom.kaspersky.eu/de/texte/detail/article/beruechtigte-cyberspionagegruppe-sofacy-mit-neuen-hinterhaeltigen-tools

Zielgerichtete Cyberoperationen auf Unternehmen nehmen 2014 stark zu

Hochprofessionelle, zielgerichtete Attacken und gefährliche Kampagnen prägten das Jahr 2014, mit zum Teil erheblichen Auswirkungen auf Unternehmen, staatliche Stellen und Institutionen. Kaspersky Lab konnt in den vergangenen zwölf Monaten sieben APT-Kampagnen aufdecken, also komplexe, andauernde und zielgerichtete Cyberattacken, bei denen weltweit mehr als 4.400 Ziele aus dem Unternehmensbereich in mindestens 55 Ländern betroffen waren. Das entspricht einer Steigerungsrate um 140 Prozent im Vergleich zum Vorjahr. Neben APTs (Advanced Persistent Threats) drückten Betrugskampagnen dem Security-Jahr 2014 ihren Stempel auf, bei denen zum Teil Millionenbeträge verloren gingen. Dies zeigt der dritte Teil des Kaspersky Security Bulletins 2014/2015, in dem die Top 10 der IT-Sicherheits-Storys des Jahres 2014 rekapituliert werden.

Mehr erfahren Sie hier.

Cyberspionage-Kampagne „The Mask“

Regierungsorganisationen, Botschaften, Energiekonzerne sowie Forschungseinrichtungen weltweit werden durch eine der derzeit fortschrittlichsten Cyberspionage-Operationen ausspioniert.

Kaspersky_Infographic_The_Mask_APT[1]Kaspersky Lab veröffentlicht Details zu der aufgrund ihrer Komplexität und der verwendeten Werkzeuge als eine der derzeit fortschrittlichsten Cyberspionagekampagnen. Die Angriffsziele sind Regierungsorganisationen, diplomatische Einrichtungen und Botschaften, Energie-, Öl- und Gas-Unternehmen sowie Forschungseinrichtungen und Aktivisten. Die infizierten Systeme kommen aus 31 Ländern weltweit – darunter auch aus Deutschland und der Schweiz. Dabei kommt eine äußerst ausgeklügelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone und iPad) zum Einsatz.

Die Angreifer haben es auf sensible Daten der infizierten Systeme abgesehen, wie beispielsweise Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen (Virtual Private Network) für sichere Verbindungen, SSH-Schlüssel (Secure Shell) zur Kommunikation mit einem SSH-Verschlüsselungsserver und RDP-Dateien (Remote Desktop Protocol), die zum Aufbau von Terminal-Verbindungen dienen.

Mehr über Haupterkenntnisse der „The Mask/Careto“-Kampagne, Infizierungsmethoden und Funktionalität erfahren Sie unter: http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-lab-enthuellt-cyberspionage-kampagne-the-mask/?no_cache=1&cHash=5fe18d4d6e60e8801a7dd9a8c22da6a1