Was die “Nitro”-Angriffe lehren

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Zwischen April und Oktober dieses Jahres führten Cyberkriminelle eine Kampagne zielgerichteter Malware-Angriffe durch, so ein neuer Bericht von Symantec. Dabei wurden mindestens 100 Computer weltweit infiziert. Der Report illustriert die Erkenntnisse aus dem jüngsten Trend Micro Whitepaper „Trends in Targeted Attacks“.

Zielgerichtete Kampagnen

Bei diesen zielgerichteten Schädlingsangriffen handelt es sich nur selten um isolierte Ereignisse. Es sind eher Kampagnen – eine Reihe von fehlgeschlagenen und erfolgreichen Versuchen, in einer gewissen Zeitspanne Ziele zu kompromittieren. Das beim Angreifer vorhandene Wissen über das Opfer, möglicherweise aus einem früheren erfolgreichen Angriff stammend, beeinflusst die spezifischen Merkmale eines einzelnen Angriffs innerhalb einer solchen Kampagne. Im Fall der so genannten „Nitro“-Attacken verwendeten die Kriminellen Nachrichten zu IT-Sicherheitsthemen, die ziemlich generisch wirkten, doch auf unterschiedliche Ziele angepasst waren. Die Download-Links in der E-Mail-Nachricht sollten aussehen, als ob sie auf die eigene Website des Opfers zeigten. Häufig fokussiert sich diese weniger spezifische Zielrichtung auf Interessengemeinschaften. Damit will man Informationen erhalten, die später in einem präziseren Angriff genutzt werden sollen.

Im allgemeinen suchen sich die Angreifer eine Vielfalt an Zielen aus. In Fall der „Nitro“-Attacken konzentrierten sie sich auf Chemieunternehmen aber auch Menschenrechtsorganisationen und den Verteidigungssektor.

Menschliche Interaktion

Die in der “Nitro”-Kampagne verwendete Hintertür-Software ist als Poison Ivy bekannt. Es ist ein frei verfügbarer Trojaner, der dem Angreifer vollständigen, „Echtzeit“-Zugang zu einem infizierten Computer verschafft. In zielgerichteten Angriffen wird häufig übersehen, dass sie auf menschlicher Interaktion in Echtzeit basieren. Diese Komponente unterscheidet sie von automatisierten Botnetzen. Wenn der Poison Ivy-Schädling Verbindung zum Command & Control-Server der Angreifer aufnimmt, so steht da ein Mensch dahinter, der den infizierten Computer sowie das zugehörige Netzwerk zu durchsuchen beginnt. Dieser Angreifer kann Informationen entwenden, zusätzliche Schadsoftware installieren und weitere Maschinen des Netzwerks infizieren. Noch wichtiger ist die Tatsache, dass dieser Mensch auf die Schutzmaßnahmen des Opfers reagieren kann.

Segmentierte Infrastruktur

Die Angreifer müssen eine Command & Control (C&C)-Infrastruktur aufsetzen, um die Verbindung zu den infizierten Computern zu halten. In manchen Fällen unterhalten sie unterschiedliche Sets von C&C-Infrastrukturen, sodass es schwierig ist, das ganze Ausmaß ihrer Aktivitäten aufzudecken. Mithilfe der ursprünglichen Malware-Muster, Domänen und IP-Adressen, die Symantec geliefert hatte, konnten die Sicherheitsfachleute bei Trend Micro drei unterschiedliche C&C-Infrastruktursets ausmachen.

Das erste Set enthält drei Domänen, die von dynamischen DNS-Diensten zur Verfügung gestellt werden. Angreifer nutzen häufig dynamische DNS-Dienste mit remote Administrationswerkzeugen, wie Poison Ivy. Mithilfe dieser Dienste können die Angreifer einfach ihre C&C-Domänen auf neue IP-Adressen einstellen und damit eine konsistente Verbindung zu den infizierten Computern aufrecht erhalten.

Das zweite C&C-Infrastrukturset ist rund um drei Domänen aufgebaut, die alle dieselbe IP-Adresse auflösen. Die C&C-Domäne domain.rm6.org wurde auch in einem Angriff auf die britische Regierung im August 2011 verwendet.

Das dritte Set baut auf die Domäne antivirus-groups.com und die IP-Adresse 204.74.215.58, die von Symantec mit einem bestimmten Schauspieler, Codename „Covert Grove“ in Verbindung gebracht wurde.

Mit dieser segmentierten Infrastruktur können die Angreifer dasselbe Set für verschiedene mögliche Opfer nutzen, ohne dass die Angriffe zwangsläufig miteinander in Verbindung stehen müssen. Ohne zusätzliche Informationen kann es schwierig werden, das ganze Ausmaß der gezielten Kampagnen mit allen Verbindungen untereinander zu erkennen. Dies zeigt, wie wichtig Threat-Intelligenz für Schutzstrategien ist.

Schutzstrategien lassen sich bedeutend verbessern, wenn man versteht, wie gezielte Angriffe, einschließlich der Trends bei den Tools, Taktiken und Vorgehensweise, funktionieren. Diese Art der Attacken ist auf das Entwenden von kritischen Daten ausgerichtet. Deshalb sind Strategien sehr wichtig, die sich auf den Schutz der Daten, wo immer sie liegen, konzentrieren. Für einen wirksamen Schutz ist die effiziente Nutzung von Bedrohungsintelligenz, wie sie das Smart Protection Network von Trend Micro bietet, unabdingbar, denn es bezieht die Informationen aus externen und internen Quellen in Verbindung mit Kontext-sensitivem Datenschutz und Sicherheitswerkzeugen, die diese Intelligenz anwenden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*