2015 und 2016 war die Ukraine auf vielerlei Weise in den Schlagzeilen. Ende 2015 und Anfang 2016 mussten die Energieerzeuger des Landes Cyberattacken von einer Hackergruppe namens BlackEnergy ertragen. Nun musste das ohnehin reichlich gebeutelte Land die nächste Welle von Cyberangriffen melden – diesmal war das Finanzsystem dran.

Noch unbekannte Hacker nahmen Anfang Dezember die ukrainischen Banken ins Visier. Forscher des Sicherheitsunternehmens ESET identifizierten ein ziemlich einzigartiges und bösartiges Toolset, das in zielgerichteten Cyberattacken gegen Ziele im ukrainischen Finanzsektor eingesetzt wurde.

Wer genau hinter den Angriffen steckt, ist noch nicht ganz eindeutig. Die verantwortliche Hackergruppe für diese neuen Angriffe wurde TeleBots-Gruppe genannt. Jedoch zeigte die Vorgehensweise der Hacker und ihre dabei verwendeten Tools gewisse Gemeinsamkeiten mit der BlackEnergy-Gruppe. ESET vermutet sogar, dass diese neue Gruppe aus der BlackEnergy-Gruppe entstanden ist.

Die TeleBots-Gruppe verwendete ebenfalls hauptsächlich Spear-Phishing-E-Mails mit bösartigen Makros versteckt in Microsoft Excel-Dokumenten. Beim Klick die Schaltfläche „Inhalt aktivieren“, führt Excel das bösartige Makro aus. Die Angreifer übernehmen damit einen Computer und verwenden ihn, um das nun kompromittierte Netzwerk weiter zu infiltrieren, Passwörter zu erschnüffeln usw.

Nach Analyse der verwendeten Makrocodes in den TeleBots-Dokumenten stellte sich heraus, dass dieser Makrocode interessanterweise mit dem der BlackEnergy-Gruppe aus 2015 übereinstimmte. Die eingeschleuste, böswillige Binärdatei hat den Zweck andere Malware herunterladen, die wiederum eine Hintertür, bekannt als Python / TeleBot.AA Trojaner installiert. Dieser Trojaner, das Herzstück der gesamten Malware, missbraucht den Telegram Bot API aus der Telegram Messenger Anwendung, um so mit den Angreifern zu kommunizieren.

Die ESET-Forscher entdeckten mindestens ein Beispiel einer solchen Hintertür, die eine outlook.com Mailbox als seine Commandozentrale verwendet. Andere Werkzeuge sind Keylogger zum Passwortstehlen, LDAP-Abfrage-Tools, ein BCS-Server-Tool, zusätzliche Hintertüren und dann eine Komponente namens KillDisk, die den Schlusspunkt setzt. Das LDAP-Abfrage-Tool sammelt detaillierte Informationen zu Computern und Benutzernamen, die in Active Directory aufgeführt sind, und die Keylogger sammeln gespeicherte Passwörter aus verschiedenen Browsern wie Google Chrome, Internet Explorer, Mozilla Firefox und Opera.

Schließlich ermöglicht es das BCS-Server-Tool den Angreifern, einen Tunnel zu einem internen Netzwerk zu öffnen, das zum Senden und Empfangen von Daten zwischen dem Comand-&-Control-Server (C & C) und sogar zu nicht infizierten Computern im Netzwerk, verwendet werden kann. KillDisk hat die Aufgabe die Systemdateien zu löschen, wodurch der oder die Geräte nicht mehr bootfähig sind. Doch die TeleBots-Gruppe hinterließ noch einen etwas schadenfrohen Abschiedsgruß. Das f-society Logo aus der Fernsehserie Mr. Robot erscheint auf den Bildschirmen als Abmeldedisplay.

Um solche ausgefeilten Angriffe durchzuführen, müssen der oder die Angreifer ständig an der Erfindung neuer Malware herumbasteln und sich neue Angriffstechniken ausdenken.

Artikel von theregister.co.uk, 15.12.2016: BlackEnergy power plant hackers target Ukrainian banks
Artikel von scmagazine.com, 15.12.2016: Telebots cybergang toolset reminiscent of BlackEnergy
Artikel von welivesecurity.com, 13.12.2016: The rise of TeleBots: Analyzing disruptive KillDisk attacks