Schlagwort-Archiv: Hacker

Berüchtigte Cyberspionagegruppe Sofacy mit neuere und fortschrittlichere Werkzeuge im Angriffsarsenal

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der so genannten Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift.

Bei Sofacy – auch bekannt als „APT28“, „Fancy Bear“, „Sednit“ oder „STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv. Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

  • Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.
  • Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.
  • „Air-gaps“: Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als „air-gapped“ bezeichnet.

„Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. „Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an. Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen.“

Die außergewöhnliche Angriffsmethode von Sofacy

Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung „msdeltemp.dll“) heruntergeladen wurde.

Beim Trojaner „msdeltemp.dll“ handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner „msdeltemp.dll“ zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms  über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

USB-Stealer attackiert „air-gapped“ Netzwerke

Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von „air-gapped“ Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden.

Von Kaspersky Lab empfohlene Schutzstrategien

Die Lösungen von Kaspersky Lab erkennen die folgenden neuen von der Sofacy-Gruppe eingesetzten Malware-Samples: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic

Organisationen können sich gegen APT-Attacken wie Sofacy schützen, indem sie einen mehrschichtigen Sicherheitsansatz mit

  • traditionelle Anti-Malware-Technologien,
  • Patch Management,
  • Host Intrustion Detection-Technologien,
  • sowie Whitelisting und Default-Deny-Strategien kombinieren.

 

Quelle: Kaspersky Lab DACH
Weitere Informationen finden Sie unter: http://newsroom.kaspersky.eu/de/texte/detail/article/beruechtigte-cyberspionagegruppe-sofacy-mit-neuen-hinterhaeltigen-tools

iCloud Fotodiebstahl: Hacker nutzten Polizei-Tool

Eine Forensik-Software, die der Hersteller für den Einsatz in Ermittlungsbehörden und Unternehmen empfiehlt, spielte offenbar eine wesentliche Rolle bei der Entwendung intimer Fotos bekannter Schauspielerinnen. Das berichtet Wired und beleuchtet die Praktiken von Datendieben, die sich in einschlägigen Foren austauschen und dort auch erbeutete Aufnahmen veröffentlichen.

Das zweckentfremdete Werkzeug Elcomsoft Phone Password Breaker (EPPB) ermöglicht einen „forensischen Zugriff“ auf passwortgeschützte Backups für Smartphones und Tablets, die auf den Mobilbetriebssystemen von Blackberry und Apple basieren.

Ohne das ursprüngliche iOS-Gerät, ist ein Zugriff auf die komplett gesicherten Daten möglich, da die  iCloud-Sicherungen inkrementell beim aktiviertem iCloud und bei verfügbarem WLAN-Zugang erfolgen. Für den Zugriff auf das Backup und somit die Bilder sind lediglich die Apple-ID und das Passwort des Benutzers notwendig, dass durch Brute-Force-Attacken bewerkstelligt werden konnte.

Mehr Informationen finden Sie hier.

 

Neun Tipps für einen sicheren Umgang mit persönlichen Daten

  1. Lokale Speicherung der Bilder vermeiden
  2. Backups auf Festplatten nicht tragbarer Geräte
  3. Verschlüsseln
  4. Konten mit komplexen Passwörter schützen
  5. Gesichter in potentiell kompromittierenden Bildern unkenntlich machen
  6. Keine Bilder über einer nicht-verschlüsselten E-Mail versenden
  7. Speicherkarten und internen Speicher (Fotokamera) formatieren
  8. Keine vertraulichen Daten über einen öffentlichen WLAN-Hotspot versenden
  9. Automatische Uploads in der Cloud deaktivieren

Mehr Informationen finden Sie hier.

WLAN-Sicherheit: WPS-PIN lässt sich leicht nachvollziehen

WiFi Protected Setup (WPS) erleichtert die Konfiguration von WLANs, jedoch kann die Ziffernfolge auf die sich WPS stützt, die WPS-PIN, leicht ermittelt werden. Ein Schweizer Hacker konnte relativ leicht das Schutzsystem des Routers aushebeln und die korrekte Ziffernfolge errechnen.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Konfiguration des Routers per WPS abzuschalten.

Weitere Informationen und Vorgehen um die WPS-Konfiguration abzuschalten finden Sie hier.