Spionage-Trojaner

Malware attackiert gezielt Ukraine

| Redakteur: Peter Schmitz

Im Rahmen der Untersuchungen zur Potao-Malware haben Sicherheitsexperten von Eset herausgefunden, dass auf der Webseite truecryptrussia.ru modifizierte Versionen der Verschlüsselungssoftware angeboten wurden, die eine Backdoor enthielten, um gezielt Opfer auszuwählen.
Im Rahmen der Untersuchungen zur Potao-Malware haben Sicherheitsexperten von Eset herausgefunden, dass auf der Webseite truecryptrussia.ru modifizierte Versionen der Verschlüsselungssoftware angeboten wurden, die eine Backdoor enthielten, um gezielt Opfer auszuwählen. (Bild: Eset)

Die Ukraine ist im Visier von Cyberkriminellen: Mittels einer Spionage-Malware spähten Hacker die Ukrainische Regierung, das Militär sowie eine große Ukrainische Nachrichtenagentur aus. Die erbeuteten Daten liefern den Angreifern also wertvolle Informationen über staatliche Institutionen. Zudem wurden Mitglieder des MMM ausspioniert, ein in Russland und der Ukraine populäres Finanzpyramidensystem.

Der Security-Software-Hersteller Eset hat die Mechanismen der Schadsoftware sowie die Cyberspionage-Gruppe, die hinter dem Potao Express genannten Trojaner steckt, genauer untersucht.

Seit 2011 späht Win32/Potao Institutionen in der Ukraine aus. Wie auch die von der Sandworm APT-Gruppe, alias Quedagh, genutzten Schadsoftware BlackEnergy, ist Potao ein Beispiel für eine zielgerichtete Spionage-Malware, die es vor allem auf Nutzer aus der Ukraine und anderen GUS-Ländern wie Russland, Georgien und Weißrussland abgesehen hat. Während der Cyerangriffe liest Potao Express Passwörter sowie sensible Informationen aus und leitet sie auf den Remoteserver der Angreifer um.

Eine Auswahl an Potao-Angriffskampagnen sowie andere Ereignisse, die damit in Zusammenhang stehen.
Eine Auswahl an Potao-Angriffskampagnen sowie andere Ereignisse, die damit in Zusammenhang stehen. (Bild: Eset)

Die Recherchen von Eset legen nahe, dass die Hacker einen Russischen Hintergrund haben und sich über eine Software zur Datenverschlüsselung Zugriff zu den Systemen verschaffen. „Unsere Untersuchungen haben eine sehr interessante Verbindung zu einer russischen Version der inzwischen eingestellten Open Source Verschlüsselungs-Software TrueCrypt zu Tage gebracht“, so Robert Lipovsky, Senior Malware Researcher bei Eset.

Zudem fanden sich Verbindungen zwischen der infizierten TrueCrypt Software und der Webseite truecryptrussia.re: Diese lieferte nicht nur die mit dem Trojaner infizierte Verschlüsselungs-Software, sondern agierte auch als Command & Control Server, über den die Cyberkriminellen die Angriffe gezielt steuern konnten.

Mehr Informationen zu Win32/Potao finden sich im zugehörigen Whitepaper von Eset sowie in deren Blog.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43537949 / Malware)