Originalartikel von David Sancho, Threat Researcher, und Nart Villeneuve, Threat Researcher

Quelle: Flickr

Trend Micro hat eine Reihe von gezielten Angriffen aufgedeckt, bei denen 1465 Computer 61 Ländern infiziert wurden. Die Sicherheitsforscher konnten 47 Opfer der als LURID bekannten Methode identifizieren, unter anderem diplomatische Missionen, Ministerien, Raumfahrtbehörden sowie Forschungsinstitute. Am meisten davon betroffen sind Russland, Kasachstan und Vietnam und weitere Länder vor allem in der Gemeinschaft Unabhängiger Staaten (GUS).

In den 300 zielgerichteten Angriffen nutzten die Hacker einen in einen Schädling eingebetteten eindeutigen Erkennungsmarker (unique identifier) und ein Command-&-Control-Netzwerk mit 15 Domänennamen und zehn aktiven IP-Adressen für eine ständige Kontrolle über die Opfersysteme. Die Schadsoftware wurde bereits in der Vergangenheit für Angriffe auf Behörden und Nichtregierungsorganisation in den USA eingesetzt. Die Trend Micro-Sicherheitsexperten gehen aber davon aus, dass es keine Verbindung zwischen dem früheren und dem aktuellen Netzwerk gibt.

Diese Art der zielgerichteten Malware-Attacken werden mittlerweile als Advanced Persistent Threats bezeichnet. Dabei erhält das potenzielle Opfer eine E-Mail-Nachricht mit einem Dateianhang, dessen bösartiger Inhalt Schwachstellen in Programmen wie dem Adobe Reader (.PDF) und Microsoft Office (.DOC) ausnutzt. Öffnet der Empfänger die Datei so wird der Code unbemerkt auf seinem Computer ausgeführt und die Angreifer können danach das System kontrollieren und sich frei in dem Netzwerk des Betroffenen bewegen. Schlussendlich können die Hacker kritische Informationen aus diesem Netzwerk abgreifen.

Analyse des Angriffs

Weiterentwicklung: Diese Angriffsserie hat eine Reihe von Schwachstellen in Adobe Reader, einschließlich CVE-2009-4324, CVE-2010-2883, sowie mit RAR komprimierter Dateien (mit infizierten Bildschirmschonern) ausgenutzt. Jeder Angriff brachte das Opfersystem dazu, sich mit demselben Netzwerk von C&C-Servern zu verbinden. Die Hacker nutzten  nicht immer „Zeroday“-Exploits aus, sondern griffen häufig auch auf ältere, „verlässliche“ Exploit zurück und sparten die neuen für schwerer zugängliche Ziele auf. Die Analysen solcher Exploits durch Trend Micro sind noch im Gange.

Persistenz: Die Malware nutzte zwei verschiedene Persistenzmechanismen. Die eine Version installierte sich selbst als Windows-Dienst, um ihre Beständigkeit aufrecht zu erhalten, die andere kopiert sich selbst in das Systemverzeichnis und veränderte das allgemeine Start-up Windows-Verzeichnis. Dann kopierte der Schädling alle üblichen Autostart-Prozeduren und sich selbst dahin. Die Sicherheitsforscher konnten die Malware und Opfer der von der Schadsoftware ausgebenen Marker verschiedenen „Kampagnen“ zuordnen.

Bedrohung: Die Schadsoftware schickt die von den infizierten Computern gesammelten Informationen über HTTP POST an einen C&C-Server. Mittels dieser Kommunikation sind die Hacker in der Lage, eine Vielfalt an Befehlen an die kompromittierten Computer zu schicken, um Dateien zu versenden und zu erhalten, aber auch um eine interaktive Remote Shell auf den Opfersystemen zu aktivieren. Unter anderem konnten die Angreifer so Verzeichnisse abgreifen und Daten, wie bestimmte XLS-Dateien, stehlen. Anhand der Informationen, die Trend Micro von den C&C-Servern holen konnte, lässt sich sagen, dass es sich um 1465 eindeutige Hosts (Hostname und MAC-Adresse) sowie um 2272 eindeutige externe IP-Adressen handelt. Die zehn am meisten betroffenen Länder (den IP-Adressen zufolge) sind:

Wie so häufig ist es schwierig zu sagen, wer hinter den Angriffen steckt, denn die Merkmale wie IP-Adressen oder Domänennamen-Registrierung sind einfach zu manipulieren, um die Sicherheitsforscher in die Irre zu führen. Aufgrund der Analyse lässt sich feststellen, dass die Hacker es auf bestimmte Dokumente und Spreadsheets abgesehen haben, doch nicht welche Daten sie interessiert haben.