Suchen

Spionage-Trojaner Malware attackiert gezielt Ukraine

| Redakteur: Peter Schmitz

Die Ukraine ist im Visier von Cyberkriminellen: Mittels einer Spionage-Malware spähten Hacker die Ukrainische Regierung, das Militär sowie eine große Ukrainische Nachrichtenagentur aus. Die erbeuteten Daten liefern den Angreifern also wertvolle Informationen über staatliche Institutionen. Zudem wurden Mitglieder des MMM ausspioniert, ein in Russland und der Ukraine populäres Finanzpyramidensystem.

Firma zum Thema

Im Rahmen der Untersuchungen zur Potao-Malware haben Sicherheitsexperten von Eset herausgefunden, dass auf der Webseite truecryptrussia.ru modifizierte Versionen der Verschlüsselungssoftware angeboten wurden, die eine Backdoor enthielten, um gezielt Opfer auszuwählen.
Im Rahmen der Untersuchungen zur Potao-Malware haben Sicherheitsexperten von Eset herausgefunden, dass auf der Webseite truecryptrussia.ru modifizierte Versionen der Verschlüsselungssoftware angeboten wurden, die eine Backdoor enthielten, um gezielt Opfer auszuwählen.
(Bild: Eset)

Der Security-Software-Hersteller Eset hat die Mechanismen der Schadsoftware sowie die Cyberspionage-Gruppe, die hinter dem Potao Express genannten Trojaner steckt, genauer untersucht.

Seit 2011 späht Win32/Potao Institutionen in der Ukraine aus. Wie auch die von der Sandworm APT-Gruppe, alias Quedagh, genutzten Schadsoftware BlackEnergy, ist Potao ein Beispiel für eine zielgerichtete Spionage-Malware, die es vor allem auf Nutzer aus der Ukraine und anderen GUS-Ländern wie Russland, Georgien und Weißrussland abgesehen hat. Während der Cyerangriffe liest Potao Express Passwörter sowie sensible Informationen aus und leitet sie auf den Remoteserver der Angreifer um.

Eine Auswahl an Potao-Angriffskampagnen sowie andere Ereignisse, die damit in Zusammenhang stehen.
Eine Auswahl an Potao-Angriffskampagnen sowie andere Ereignisse, die damit in Zusammenhang stehen.
(Bild: Eset)
Die Recherchen von Eset legen nahe, dass die Hacker einen Russischen Hintergrund haben und sich über eine Software zur Datenverschlüsselung Zugriff zu den Systemen verschaffen. „Unsere Untersuchungen haben eine sehr interessante Verbindung zu einer russischen Version der inzwischen eingestellten Open Source Verschlüsselungs-Software TrueCrypt zu Tage gebracht“, so Robert Lipovsky, Senior Malware Researcher bei Eset.

Zudem fanden sich Verbindungen zwischen der infizierten TrueCrypt Software und der Webseite truecryptrussia.re: Diese lieferte nicht nur die mit dem Trojaner infizierte Verschlüsselungs-Software, sondern agierte auch als Command & Control Server, über den die Cyberkriminellen die Angriffe gezielt steuern konnten.

Mehr Informationen zu Win32/Potao finden sich im zugehörigen Whitepaper von Eset sowie in deren Blog.

(ID:43537949)