Kaspersky: Cyberangriff aus den 90er hat Verbindung zu modernen APTs
Angriff aus der Vergangenheit
Ende der 90er Jahre schockierte der Cyberangriff Moonlight Maze die USA. Damals stellten die USA ab 1996 Systemeinbrüche in Militär- und Regierungsnetzwerken, Universitäten, Forschungsinstituten sowie der Energiebehörde fest. 1998 begannen das FBI und das Verteidigungsministerium die Vorfälle intensiv zu untersuchen. Als die Geschichte im darauffolgenden Jahr öffentlich wurde, blieben jedoch viele Details im Verborgenen, sodass Moonlight Matze seitdem ein gewisser Mythos umgibt.
Fast 20 Jahre später zeigt eine Analyse der damaligen Angriffswerkzeuge durch den Sicherheitsanbieter Kaspersky und Forschern des Kings College London, dass diese in Verbindung zu modernen APTs (Advanced Persistent Threat) stehen. Im Rahmen der Untersuchung haben die Sicherheitsexperten Malware-Samples, Log-Dateien und Artefakte eines historischen APTs entdeckt. Demnach weist ein von Moonlight Maze seit 1998 für die Exfiltration von Informationen (Übertragung spionierter Daten aus dem Unternehmensnetzwerk hinaus) verwendetes Backdoor-Programm Verbindungen zu einer Backdoor auf, die die Turla-Gruppe 2011 und möglicherweise noch im Jahr 2017 einsetzte. Sollte sich der Verdacht bestätigen und es eine Verbindung zwischen Turla und Moonlight Maze geben, stünde dieser Akteur, so Kaspersky, hinsichtlich Langlebigkeit auf einer Stufe mit der Equation Group, deren eingesetzte Command and Control Server zum Teil bis ins Jahr 1996 zurückzuverfolgen sind.
Bereits zuvor hatten nach Angaben von Kaspersky Ermittlungsbehörden vermutet, dass Turla aus Moonlight Maze hervorging. Der russischsprachige Bedrohungsakteur Turla soll seit 2007 aktiv und unter weiteren Namen bekannt sein, etwa Snake, Uroburos, Venomous Bear und Krypton.
"In den späten 1990er Jahren hatte keiner die Reichweite und Ausdauer einer koordinierten Cyberspionagekampagne vorhergesehen", so Juan Andres Guerrero-Saade, Senior Security Researcher im Forschungs- und Analyseteam bei Kaspersky Lab. "Wir müssen uns selbst fragen, warum Angreifer noch immer erfolgreich alten Code in modernen Attacken einsetzen können. Die Analyse der Moonlight Maze Samples ist nicht nur ein Stück faszinierende IT-Archäologie; sie ist auch eine Mahnung, dass finanziell sehr gut ausgestattete Angreifer nicht einfach verschwinden."
Als Grundlage für die Untersuchungen diente ein Original-Server, den Moonlight-Maze-Angreifer damals als Proxy übernommen und für die Durchführung von Attacken gegen die USA eingesetzt haben. Der ehemalige Systemadministrator hat den Server sowie Kopien von allem, was mit der Attacke in Verbindung stand, aufbewahrt. Thomas Rid vom Kings College London machte den pensionierten IT-Administrator im Rahmen einer Buchrecherche ausfindig und analysierte dessen Datenschatz gemeinsam mit Danny Moore vom Kings College sowie den beiden Kaspersky Forschern Juan Andres Guerrero-Saade und Costin Raiu. Über neun Monate haben sie nach eigenen Angaben im Rahmen ihrer detaillierten und technischen Analyse der Samples die Operationen, Werkzeuge und Techniken der Angreifer rekonstruieren und mögliche Verbindungen mit Turla nachgehen können.
Demnach handelt es sich bei Moonlight Maze um einen Open-Source-Unix-basierten Angriff, der das System Solaris im Visier hatte. Dabei setzten die Angreifer auf eine Backdoor auf Basis von Loki2, ein im Jahr 1996 veröffentlichtes Programm, mit dem Nutzer Daten über verdeckte Kanäle herausfiltern können. Bei der Untersuchung einiger rare Linux-Samples, die Turla nutzt und 2014 von Kaspersky entdeckt wurden, zeigte sich außerdem, dass es sich hierbei um Penquin-Turla handelt, dessen Samples ebenfalls auf Loki2 basieren. Auch zeigte die Neu-Analyse, dass alle Code beinhalteten, der zwischen 1999 und 2004 erstellt wurde.
Laut Kaspersky kam dieser Code bei einem Cyberangriff im Jahr 2011 auf das Rüstungsunternehmen Ruag in der Schweiz zum Einsatz, dem man Turla zuschreiben konnte. Im März 2017 haben Experten des Security-Anbieters ein neues Sample der Penquin-Turla-Backdoor gefunden, die von einem System in Deutschland hochgeladen wurde. Daher sei es möglich, dass Turla alten Code für Attacken auf hochgesicherte Organisationen verwendet, die mit dem Standard-Windows-Toolset von Turla nur schwer zu knacken sind.
Weitere Informationen finden sich unter securelist.com/blog/sas/77883/penquins-moonlit-maze.
Lesen Sie mehr zum Thema
