Der Trojaner Citadel ist ursprünglich ein bei Cyberkriminellen beliebtes Programm zum Sammeln von Zugangsberechtigungen für Online-Banking und für den Diebstahl von Geld aus den betroffenen Konten. Nun ist der Trojaner aber der neueste in einer Reihe von Banking-Trojanern, die für einen neuen Zweck umgestaltet wurden: Cyber-Spionage. Citadels neues Ziel sind nun petrochemische Unternehmen aus dem Nahen Osten.

Head-Map von APT-Infektionen auf Computer pro Länder von IBM Trusteer research. Rechte: securityintelligence.com

Diesen Sommer nutzten unbekannte Angreifer das Programm, um Daten, E-Mail-Nachrichten und Zugriffsberechtigungen zu sammeln. Dies geht aus einer im September veröffentlichten Analyse von IBM Trusteer hervor. Die Forscher identifizierten Citadel als die verantwortliche Malware. Die betroffenen Unternehmen umfassen unter anderem „einen der größten Händler petrochemischer Produkte im Nahen Osten und einen regionalen Zulieferer von Rohmaterialien“, so die Analyse.

Der Vorfall zeigt, dass entweder Cyberkriminelle ihr Spektrum erweitern und sich nun auch auf den Diebstahl von sensiblen Industriedaten fokussieren oder dass Spione von Regierungen oder Wettbewerbern Standardprogramme für ihre Kampagnen nutzen.

Dana Tamir von IBM Trusteer:

„Wir können einen Trend dahingehend erkennen, dass diese Programme nicht länger nur für Finanzbetrug genutzt werden. Sie können mit wenigen Mitteln auch in fortgeschrittene Tools zum gezielten Angriff auf Firmen und der Infiltration ihrer Systeme verwandelt werden.“

Dabei konzentrierte sich allerdings die Citadel-Kampagne zunächst nicht auf einige gezielte Firmen. Stattdessen nutzten die Angreifer für Cyberkriminelle typische Methoden, zunächst auf breiter Basis möglichst viele Systeme zu infizieren. Zum Beispiel errichteten sie über Phishing-Kampagnen ein Netzwerk betroffener Computer. Daraufhin verbanden diese sich aber mit einem Command-and-Control-Server. Wurden darüber Domains von petrochemischen Unternehmen identifiziert, so sandte der Server an diese eine speziell konfigurierte Datei.

Als Spionagetool erlangt Citadel Zugriff auf E-Mail-Server und andere Webseiten und sendet diese Daten dann an den Command-and-Control-Server. Wie andere Banking-Malware kann Citadel weitere Aktivitäten durchführen, zum Beispiel Key-Logging, das Anfertigen von Screenshots, die Modifizierung von Webseiten und weiteres. Auch Zeus und SpyEye wurden schon zum Entwenden von Unternehmensgeheimnissen genutzt.

Sicherheitsanalysten gehen davon aus, dass Cyberspionage immer mehr industrialisiert wird. Finanzbetrug ist es bereits, nun werden die dort genutzten Tools für neue Zwecke umstrukturiert.

IBM hat bisher keine Namen von betroffenen Unternehmen bekannt gegeben und gab auch noch keine Auskünfte, wen sie hinter den Angriffen vermuten. Bisher wurden weniger als zehn betroffene Firmen entdeckt.

Artikel von darkreading.com, 17.09.2014: Cyberspies Resuscitate Citadel Trojan For Petrochemical Attacks
Artikel von arstechnica.com, 17.09.2014: Popular financial trojan Citadel gets a makeover as a corporate spy