Aus dem Bereich Cyberspionage gibt es nach Berichten der Sicherheitsexperten von Symantec und Kaspersky Lab neue Meldungen, die eine gewisse Brisanz haben. Strider, eine Cyberspionagegruppe soll relativ unbemerkt über fünf Jahren hinweg weltweit Daten von Unternehmen gestohlen haben. Brisant ist diese Entdeckung deshalb, da festgestellt wurde, dass die Gruppe eine ganz spezifische Art hoch entwickelter Malware einsetzt und ihre Vorgehensweise völlig untypisch ist im Vergleich zu anderen Hackergruppen.

Die Strider-Angriffe waren zudem sowohl gegen Unternehmen als auch gegen Privatpersonen gerichtet, die für Geheimdienste potenziell interessant waren. Die Angriffsziele der Strider-Gruppe im Allgemeinen lagen in China, Russland, Belgien und Schweden. Die Sicherheitsexperten beider Unternehmen schließen alles in allem daraus, dass vermutlich Regierungen hinter diesen Vorfällen stecken könnten. Bestätigt und zugeordnet werden kann dies jedoch nicht.

Die Kaspersky Lab Experten nennen die gefundene Schadsoftware „ProjectSauron“ und die Experten von Symantec gaben ihr den Namen „Remsec“. Einig sind sich jedoch beide Expertenteams, dass sie bisher keine Kenntnis über diese Malwareeinsätze hatten und dass seit ungefähr 2011 mindesten 30 oder mehr Ziele angegriffen wurden.

Die Vermutung beider Expertenteams, dass staatlich geförderte Spionagegruppen dahinter stecken, basiert auf ihren Erfahrungen mit ähnlich geschriebenen Malwareprogrammen wie Stuxnet, Flame, Regin oder Duqu, die in der Vergangenheit bereits als Spionagesoftware enthüllt wurden. Symantec Analysen ergaben, dass die Remsec Spionagesoftware eingesetzt wurde. Sowohl Remsec als auch Flame verwenden jeweils die sehr seltene Programmiersprache Lua. Zu den Lua-Modulen gehören ein Netzwerk-Ladeprogramm, Host-Ladeprogramm, Netzwerklistener, Basic-Pipe-Hintertür, eine erweiterte Pipe-Hintertür die Dateien lesen, beschreiben und löschen kann, eine HTTP-Hintertür einschließlich URLs für einen Command-and-Control-Server sowie einen Keylogger.

Dass die Angriffe nicht schon früher aufgedeckt wurden, liegt aber nicht nur daran, dass diese Malware in einer ungewöhnlichen Programmiersprache geschrieben wurde, sondern auch daran, dass die gleiche Malware nach jedem Angriff jeweils ganz unterschiedlich Spuren zurückließ. Dies erschwert den Cyberforensikern das Aufspüren weiterer Angriffe und lässt darauf schließen, dass hier mehr als nur außergewöhnliche Hacker am Werke waren.

Die Angreifer verwendeten ganz bewusst für jeden einzelnen Angriff andere Server, Domainnamen oder IP-Adressen. Kaspersky geht davon aus, dass die Angreifer ganz klar ihr Handwerk verstehen und auch ganz klar wissen, wie Sicherheitsexperten vorgehen.

IT-Forensiker suchen stets nach wiederkehrenden Mustern in Vorgehensweisen oder Vorfällen. Sind solche nicht vorhanden, sind derartige Angriffe fast unmöglich zu entdecken. Die Sicherheitsunternehmen schätzen daher die Dunkelziffer der Angriffe als sehr hoch ein. Sie vermuten auch, dass sehr viel Kapital eingesetzt werden musste, um derartige Vorgehensweisen zu finanzieren.

Die Malware der Strider-Gruppe versteckt sich außerdem ausschließlich in Computerspeichern in Form von BLOBs. Antivirusprogramme tun sich im Allgemeinen damit sehr schwer. Doch die Angriffe waren erfolgreich selbst gegen Ziele, die ihre Betreiber gar nicht mit dem Internet verbunden hatten, da sie als so brisant und schützenswert einstuft wurden. Um dies erfolgreich zu bewerkstelligen, nutzt die Schadsoftware speziell vorbereitete USB-Speicherlaufwerke mit einem virtuellen Dateisystem, unsichtbar für Windowsbetriebssysteme.

Diese präparierten Speicher werden von den angegriffenen Rechnern als zugelassene Wechseldatenträger eingestuft. Doch darin versteckt stehen mehrere Hundert Megabyte Speicherplatz bereit. Auf ganz raffinierte Weise werden dort die Daten abgespeichert, die die vom Internet abgeschnittenen Rechner jeweils beim Verbinden hinterlassen haben. Wie genau das vonstatten geht, war den Experten bei Kaspersky jedoch zunächst noch nicht klar. Denn ein reiner „unsichtbarer Speicherplatz“ lässt zunächst keine Kontrolle von sogenannten „Air-gapped-Rechnern“ zu. Was die Experten jedoch inzwischen wissen ist, dass ProjectSauraun sich aus mindestens 50 auswechselbaren Softwaremodulen zusammensetzt, die individuell und zielgerichtet zusammengestellt werden können.

Höchstwahrscheinlich gibt es darunter Schläfer-Zellen, die auf ein spezielles Kommando aus dem eingehenden Datenverkehr warten und dann den Angriffsprozess in seiner speziellen Form in Gang setzen.

Im September letzten Jahres kam jedoch etwas Licht ins Dunkel, als ein Vorfall bei einem Kunden untersucht wurde. Dabei wurde eine ominöse ausführbare Programmbibliothek entdeckt, die in einen Datenspeicher hochgeladen wurde. Getarnt als Windows-Passwortfilter, wurde dieses Modul dann jedes Mal aktiv, wenn sich ein Netzwerk oder ein Anwender anmeldete oder ein Passwort änderte.

Damit war den Experten auch der Hauptzweck des Moduls klar: Passwörter, Konfigurationsdateien, kryptografische Schlüssel sowie IP-Adressen von wichtigen Servern abzugreifen.

Artikel von arstechnica.com, 09.08.2016: Researchers crack open unusually advanced malware that hid for 5 years
Artikel von darkreading.com, 08.08.2016: Symantec Discovers Strider, A New CyberEspionage Group