+43 699 / 18199463
office@itexperst.at

Ungewöhnliche Schadsoftware spioniert tibetische Friedensaktivisten aus

Der Antivirus-Händler ESET hat Spionagesoftware auf Systemen tibetischer Aktivisten gefunden, welche ungewöhnliche Methoden verwenden, um Aufspürmechanismen zu umgehen und so lange Zeit unentdeckt zu bleiben. Laut den Forschern der ESET nutzt eine Schadsoftware die Windows-Management-Instrumentation aus, um unentdeckt zu bleiben.

Die Schadsoftware umgeht die Benutzerkontenkontrolle von Windows, um anschließend Befehle ausführen zu können, ohne den Nutzer um Erlaubnis fragen zu müssen. Dies ist auf Grund eines Fehlers in der Windows-Benutzerkontenkontrolle möglich, welcher bereits im Jahre 2009 vom Entwickler Leo Davidson aufgedeckt wurde. Laut Alexis Dorais-Joncas nutzt die Spionagesoftware genau den von Davidson entwickelten Code, um die Whitelisting-Funktion zu sabotieren.

Auf diese Weise kann eine zweite Schadsoftware ausgeführt werden, welche ein JavaScript im Windows-Management-Instrumentation-Untersystem registriert. Mit Hilfe des WMI lassen sich administrative Aufgaben automatisieren, sodass dem Administrator Arbeit abgenommen wird. Das System wurde bereits vorher von Hackern ausgenutzt, jedoch handelt es sich um eine seltene Erscheinung. Es handelt sich aber um eine der besten Möglichkeiten, um ein Programm auf die Festplatte zu schleusen, welches nicht als Schadsoftware erkannt wird.

Eine verwandte Software war der Stuxnet-Wurm, welcher auf iranischen Atomanlagen installiert wurde, um deren Aktivitäten zu überwachen. Das so getarnte Programm wandelt HTTP-Anfragen zu URLs um, welche den RSS Feed freier Blogs anpeilen. Die Titel der RSS-Einträge enthalten kodierte Befehle, welche wiederum die URLs der Steuerserver (Command & Control, C&C) enthalten.

Bei Kontaktaufnahme sendet der C&C-Server das JavaScript an den infizierten Computer, welches mit Hilfe des WMI-Scripts ausgeführt wird.

Forscher von ESET infizierten einen Testcomputer mit der Schadsoftware und stellten fest, dass die gesendeten Befehle nicht automatisch erzeugt wurden. Täglich erschienen unterschiedliche Befehle, welche zu irregulären Zeiten versendet wurden. Dies erweckte den Anschein, als würde jemand manuell die übernommenen Systeme zu seinen Gunsten steuern.

Der Angreifer spionierte das infizierte System aus und erkundigte sich über gespeicherte Daten, Netzwerkeinstellungen und laufende Programme. Es scheint, als sei die älteste gefundene Version der Schadsoftware im Juli 2010 erstellt worden, also schon drei Jahre alt.

Auf Grund der verwendeten C&C-Domains stellten die Forscher eine Verbindung nach Tibet her. Die Domains lauteten beispielsweise nedfortibt.info oder tbtsociety.info.

Auf Grund der fehlenden Automatisierung der Schadsoftware ist es schwer, das endgültige Ziel des Angriffes festzustellen. Nichtsdestotrotz ähnelt das Verhaltensmuster anderen Cyberattacken gegen tibetische Friedensaktivisten, sodass sie wahrscheinlich China zuzuordnen sind.

Artikel von computerworld.com, 24.05.2013: Researchers find unusual malware targeting Tibetan users in cyberespionage operation

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen