Eine Gruppe russischer Hacker, bekannt als Fancy Bear, hatte es vor Kurzem auf Unternehmen der internationalen Luft- und Raumfahrtindustrie abgesehen. Davor war die Gruppe bereits durch ihre Hacking-Aktionen gegen hochkarätige US-Ziele in die Schlagzeilen gelangt. Fancy Bear trat in der Vergangenheit auch unter den Namen APT28, Pawn Storm, Sofacy und Sednit auf. Sicherheitsexperten zählen die Fancy Bear Truppe zu den besten Hackern der Welt. Fancy Bear hatte ihre Aktionen bisher sehr erfolgreich gegen Windows Betriebssysteme durchführen können. Zu ihren Opfern zählen namhafte Regierungsbehörden, gemeinnützige und Nichtregierungsorganisationen.

Die Gruppe ist seit Mitte 2000 aktiv und ihre Opfer im Luft- und Raumfahrt, Verteidigungs-, Energie-, Regierungs- und Mediensektor sind in aller Welt verstreut, darunter die USA und Kanada, westeuropäische Staaten sowie China, Georgien, Iran, Japan und Südkorea nach. Über die Jahre hinweg hat sich Fancy Bear einen umfangreichen Werkzeugkasten vor bösartiger Schadsoftware zusammengestellt. Darunter sind bekannte Tools wie Sofacy, X-Agent, X-Tunnel, WinIDS, Foozer und auch sogenannte DownRange Droppers. Sie konnten sogar Malware gegen Linux, OSX, iOS, Android und Windows Telefone erstellen. Doch bisher hat Fancy Bear noch auffällig wenige Angriffe auf iOS Betriebssysteme von Apple in der Liste ihrer Angriffe. Das hat sich nun geändert.

Ihr neuestes Hacktool, ein Trojaner mit dem Namen Komplex, ist speziell auf den gezielten Einsatz gegen Apple Mac OS X kreiert worden. Dabei nutzt der Trojaner aber keineswegs OS X Schwachstellen aus, sondern findet seinen Einsatzort über Phishing-E-Mails. Komplex wartet auf sein Opfer in einem PDF-Dokumenten-Symbol, das über einen angegebenen Link erreicht wird. Forschern bei Palo Alto Networks gelang es, die Trojaner-Datei einzufangen. Doch ihre weiteren Untersuchungen ergaben keine verwertbaren Informationen, wie die Datei mit Komplex dann tatsächlich in die OS X-Systeme abgesetzt wurde.

Die Forscher gehen jedoch davon aus, dass wohl wieder eine Schwachstelle im MacKeeper Antivirus Programm ausgenutzt wird, um ein Mac Remote-Befehle auszuführen, wenn speziell manipulierte Webseiten besucht werden. Die Datei lenkt ihre Opfer jedenfalls erfolgreich mit einer Displayanwendung ab, die Folien über die Zukunft des russischen Raumfahrtprogramms bis 2025 enthält. Daher kann davon ausgegangen werden, dass der oder die Empfänger mit einer solchen Information gerechnet haben und daher kein Argwohn angebracht war.

Die Palo Alto Network Forscher sahen, dass der Komplex Trojaner schon einmal zum Einsatz gekommen ist in einer Serie von Angriffen, die eine Schwachstelle im seinerzeit berüchtigten MacKeeper Antivirusprogramm ausnutzen konnten. Der Trojaner weist auch Ähnlichkeiten was Code und Funktionsweise betrifft, mit dem Windows Trojaner Carberp auf, der auch aus dem Fancy Bear Werkzeugkasten stammt. Komplex jedenfalls, kann Dateien von einmal infizierten Apple Mac OS X Computern herunterladen, ausführen und löschen. Er kommuniziert unerkannt im Hintergrund fleißig mit den Fancy Bear Hackern über Command-und-Control-Server. Dabei übermittelt Komplex viele seiner auftragsmäßig erschnüffelten Informationen wie Version, Anwendernamen und Prozesslisten und empfängt neue Instruktionen, die er dann ebenfalls ausführt.

Palo Alto Network kann bis dato nichts darüber sagen, wie viele Apple Mac OS X Systeme mit dem Komplex Trojaner infiziert worden sind. Es wird jedoch davon ausgegangen, dass es sich nicht um eine groß angelegte Hackingaktion handelt.

Artikel von darkreading.com, 26.09.2016: Russian ‚Fancy Bear‘ Hackers Hit Mac OS X With New Trojan
Artikel von computerworld.com, 26.09.2016: New Mac Trojan uses the Russian space program as a front