Kaspersky Lab: Cyberspionage durch hochentwickelte Malware
Slingshot: Der Spion kam aus dem Router
Kaspersky Lab warnt vor einer hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treiben soll. Dabei attackiert und infiziert die Malware "Slingshot" ihre Opfer über kompromittierte Router. Slingshot ist laut Kaspersky in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Laut den Experten nutzt der Schädling einige bemerkenswerte Techniken. Er spähe Informationen heimlich und effektiv aus, indem er den entsprechenden Netzwerkverkehr in markierte Datenpakete versteckt und ohne Spuren zu hinterlassen diese wieder aus dem regulären Datenstrom auslesen kann.
Die Kaspersky-Experten kamen der Operation Slingshot über den Fund eines verdächtigen Keylogger-Programms auf die Spur. Sie machten einen infizierten Rechner aus, der in einem Systemordner eine verdächtige Datei mit dem Namen "scesrv.dll" aufwies. Die weitere Untersuchung dieser Datei ergab, dass schädlicher Code in dieses Modul eingebettet war. Da die Bibliothek von "services.exe", einem Prozess mit Systemrechten, geladen wird, verfügt auch sie über die entsprechenden Berechtigungen. Die bemerkenswerteste Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Die Experten stellten bei mehreren Opfern fest, dass die Infektion in mehreren Fällen von infizierten Routern ausging.
Die hinter Slingshot stehende Gruppe hatte anscheinend die Router mit einer schädlichen Dynamic Link Library (DLL) kompromittiert, die zum Download anderer schädlicher Komponenten diente. Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt dessen Management-Software schädliche Module auf den Administratorrechner und führt sie dort aus. Der ursprüngliche Infektionsweg der Router selbst ist bislang allerdings unklar.
Nach der Infektion lädt Slingshot mehrere Module auf die Geräte seiner Opfer. Dazu gehören Cahnadr und GollumApp. Beide Module sind miteinander verbunden und unterstützen sich gegenseitig bei der Sammlung von Informationen und deren Exfiltration sowie beim Erreichen einer möglichst langen Verweildauer auf den Rechnern.
Der Hauptzweck von Slingshot scheint den Untersuchungen zufolge Cyberspionage zu sein. Unter anderem sammelt die Malware Screenshots, Tastatureingaben, Netzwerkdaten, Kennwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht.
Dieser Advanced Persistent Threat (APT) verfügt laut Kaspersky zudem über mehrere Techniken, um sich einer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen sind verschlüsselt. Die Systemdienste werden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kommen etliche Anti-Debugging-Techniken, zudem werde vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.
Slingshot arbeitet wie eine passive Backdoor. Die Malware verfüge über keine hart codierte Command-and-Control-Adresse, sondern erhalte sie vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen werden und das Vorhandensein von zwei hart codierten sogenannten Magic Constants in der Betreffzeile untersucht werde.
Vermutlich bestehe die Bedrohung bereits seit geraumer Zeit, denn die Kaspersky-Experten fanden schädliche Samples, die als "Version 6.x" gekennzeichnet waren. Die Entwicklungsdauer des komplexen Slingshot-Toolsets dürfte beträchtlich gewesen sein. Dies gelte auch für das dafür benötigte Wissen und die Kosten. Zusammengenommen lassen diese Hinweise hinter Slingshot eine organisierte, professionelle und wohl auch staatlich gestützte Gruppe vermuten. Hinweise im Text des Codes deuten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich.
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich offenbar bislang überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.
Mehr Informationen zu Slingshot finden sich im Blog unter securelist.com/apt-slingshot/84312/.
Lesen Sie mehr zum Thema
