Suchen

Gezielter Spionage-Angriff auf Rüstungsindustrie Netzwerke mittels PDF-Malware und Remote-Access-Trojaner kompromittiert

| Redakteur: Stephan Augsten

Rüstungsunternehmen in den USA, Japan, Indien und Israel wurden offensichtlich über mehrere Monate von Cyber-Kriminellen ausgespäht. Der Antivirus-Hersteller Trend Micro spricht von einer mehrstufigen Attacke, in deren Rahmen die Angreifer sich nach dem Installieren verschiedener Schadprogramme nahezu ungehindert in den Ziel-Netzwerken bewegen konnten.

Firmen zum Thema

( Archiv: Vogel Business Media )

Mindestens acht Firmen der Rüstungsindustrie in den USA, Israel, Indien und Japan sind einer Cyber-Attacke zum Opfer gefallen. Wie Trend Micro berichtet, hatten die Angreifer seit Juli 2011 nahezu uneingeschränkten Zugang zu geheimen Informationen. Hierfür reichte es den Spionen, gerade einmal 32 Rechner zu kompromittieren.

Einen solchen gekaperten PC durfte Trend Micro analysieren. Dabei stellte sich heraus, dass der gekaperte Computer über einen Command-and-Control-Server (C&C-Server) gesteuert wird. Gleichzeitig erlaubte ein speziell auf das Unternehmen ausgerichteter Remote-Access-Trojaner (RAT) direkte Manipulationen des Systems.

Vorausgegangen war eine mehrstufige Attacke, die wie folgt ablief: Zunächst hatten die Angreifer E-Mails mit einem infizierten PDF-Anhang versendet. Der enthaltene Trojaner TROJ_PIDIEF.EED nutzte eine Schwachstelle in den Adobe-Produkten Flash und Reader aus, um auf dem anfälligen System anzulegen die Malware BKDR_ZAPCHAST.QZ abzulegen. Diese wiederum setzte sich mit den C&C-Servern in Verbindung.

Auf diesem Weg erteilten die Angreifer dem infizierten Rechner den Befehl, Netzwerk-Informationen und bestimmte Dateinamen zurückzugeben. Einige kompromittierte Systeme luden darüber hinaus Dynamic Link Libraries (DLLs) herunter, die mit dem Schadcode BKDR_HUPIG.B infiziert waren. Nach dieser akribischen Vorarbeit konnten die Angreifer letztlich ins anvisierte Netzwerk vordringen.

Um die internen Sicherheitsmechanismen zu umgehen und sich frei in den Netzwerken bewegen zu können, wurden zusätzlich verschiedene Tools auf dem PC installiert. So gelang es mithilfe von “Pass-the-Hash“-Techniken, verschiedene mitunter starke Kennwörter zu knacken.

Trojaner MFC-Hunter ermöglichte Vollzugriff

Danach erhielt der Computer den Befehl, den Remote-Access-Trojaner BKDR_HUPIGON herunterzuladen, mit dessen Hilfe die Angreifer die Echtzeit-Kontrolle über das System übernehmen können. Laut Trend Micro besteht der auch als MFC-Hunter bekannte RAT aus drei Komponenten:

  • Server: wird auf dem Opfersystem installiert und verbindet sich mit dem “Hub”.
  • Hub: wird auf einem anderen System installiert und dient als Proxy-Verbindung zwischen Opfer und Angreifer.
  • MFC: RAT-Client, den die Angreifer für die Kontrolle über den Computer des Opfers nutzen.

Die acht betroffenen Unternehmen wurden bereits von Trend Micro über die gezielte Malware-Kampagne in Kenntnis gesetzt. Was für Daten genau ausgespäht wurden, ist bislang nicht bekannt – es ist aber zu bezweifeln, dass seitens der Opfer überhaupt IT-forensische Ergebnisse zu den Angriffen veröffentlicht werden.

(ID:2052945)