Cyber-Spionage

Angriffs-Framework der Equation Group analysiert

| Redakteur: Stephan Augsten

Kaspersky Lab hat die EquationDrug-Plattform samt ihrer Schnittstellen analysiert.Lab
Kaspersky Lab hat die EquationDrug-Plattform samt ihrer Schnittstellen analysiert.Lab (Bild: Archiv)

Das Vorgehen der cyber-kriminellen Equation Group hat Kaspersky Lab bereits untersucht, nun folgt eine Analyse der Angriffsplattform EquationDrug alias Equestre. Die Spionage-Plattform wurde offenbar gut zehn Jahre lang genutzt, bevor sie durch das ausgereiftere GrayFish-Framework ersetzt wurde.

Die Cyber-Spionageplattform „EquationDrug“ aka „Equestre“ ist ein interessantes Forschungsobjekt, da sie die Möglichkeiten von Cyber-Spionen sehr gut aufzeigt. Eine Dekade lang hat das Framework der Equation Group treue Dienste geleistet, bevor es ausgemustert wurde.

Analysen von Kaspersky Lab haben ergeben, dass das Framework dutzende ausführbare Komponenten (Executables), Konfigurationsdateien und geschützte Speicherorte umfasst. Die Architektur sei vergleichbar mit einem eigenständigen Miniatur-Betriebssystem.

Die Plattform umfasst eingebettete Bibliotheken, Treiber und Plug-ins, die Steuerung der Prozesse übernimmt ein eigener Orchestrator. Im Bereich der Plug-ins finden sich beispielsweise Netzwerk-Sniffer, Festplatten-Manipulatoren oder auch ein Keylogger und ein Password Stealer.

Kaspersky Lab meint, EquationDrug könne durchaus 116 solcher Plug-ins umfassen. Mittlerweile habe allerdings die leistungsfähigere GrayFish-Plattform die Nachfolge angetreten. Gemäß der aktuellen Analyse von EquationDrug kristallisieren sich laut Kaspersky weitere Unterschiede im Vergleich zu traditionellen Cyber-Kriminellen heraus:

  • Ausmaß der Attacke: Cyberkriminelle verbreiten gewöhnlich Massen-E-Mails mit gefährlichen Anhängen oder infizieren Webseiten in größerem Umfang. Nationalstaatlich unterstützte Akteure setzen dagegen auf sehr gezielte und präzise durchgeführte Attacken, mit denen sie lediglich wenige ausgewählte Nutzer infizieren.
    • Individueller Ansatz: Während traditionelle Cyberkriminelle in der Regel öffentlich zugänglichen Quellcode wiederverwenden – wie zum Beispiel bei den bekannten Trojanern Zeus oder Carberb – erstellen nationalstaatliche Akteure einzigartige und angepasste Malware, inklusive der Implementierung von Einschränkungen, mit denen die Entschlüsselung und die Ausführung außerhalb eines anvisierten Computers verhindert wird.
    • Herausfiltern wertvoller Informationen: Herausfiltern wertvoller Informationen: Cyberkriminelle versuchen normalerweise, so viele Nutzer wie möglich zu infizieren. Allerdings mangelt es ihnen an Zeit und Speicherplatz, um sämtliche infizierte Maschinen manuell zu prüfen, wer etwa die infizierte Maschine nutzt, welche Daten dort gespeichert sind und welche Software darauf läuft – mit dem Ziel, potenziell interessante Informationen entwenden und abspeichern zu können. Nationalstaatlich unterstützte Angreifer können hingegen so viele Informationen speichern, wie sie möchten. Um keine Aufmerksamkeit zu erregen und nicht auf dem Radar von Security-Lösungen aufzutauchen, versuchen sie, massenhafte und zufällige Infizierungen zu vermeiden. Sie setzen stattdessen auf generische Remote-System-Management-Werkzeuge, mit denen jegliche Information in beliebigem Umfang kopiert werden kann. Einziger Hinweis auf eine solche Infizierung: die verlangsamte Netzwerkverbindung durch das Bewegen großer Datenmengen.
  • Kommentare werden geladen....

    Kommentar zu diesem Artikel

    Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

    Anonym mitdiskutieren oder einloggen Anmelden

    Avatar
    Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am
      1. Avatar
        Avatar
        Bearbeitet von am
        Bearbeitet von am

    Kommentare werden geladen....

    Kommentar melden

    Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

    Kommentar Freigeben

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    Freigabe entfernen

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    copyright

    Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43252831 / Malware)