+43 699 / 18199463
office@itexperst.at

Verdächtiger Tor-Ausgangsknoten entdeckt

Josh Pitts von der Leviathan Security Group hat einen bösartigen Tor-Ausgangsknoten in Russland entdeckt. An dem Knotenpunkt werden ausführbare Dateien für Windows in eine zweite, bösartige Windows-Exe-Datei verpackt. Dies wird allerdings nur bei nicht komprimierten Windows PE Dateien versucht.

Die Malware wird unter anderem mit Angriffen auf europäische Regierungsbehörden in Verbindung gebracht. Die Malware namens OnionDuke wurde von Forschern der Antiviren-Firma F-Secure näher beschrieben. Sie vermuten eine Verbindung zu MiniDuke, einer Cyberspionage-Malware russischen Ursprungs, die vor ihrer Entdeckung im Februar 2013 für Angriffe auf die NATO und europäische Regierungen genutzt wurde.

Zwar wurde der von Pitts entdeckte Knotenpunkt aus dem Tor-Netzwerk entfernt, die F-Secure-Forscher entdeckten allerdings, dass es nach der Installation mehrere bösartige Komponenten von Command-and-Control-Servern herunterlud.

„Wir haben zum Beispiel Komponenten entdeckt, die Zugangsdaten von den Opfern stehlen, sowie Komponenten, die weitere Informationen auf dem kompromittierten System sammeln. Interessante Daten sind zum Beispiel die Existenz eines Anti-Viren-Programms oder einer Firewall“,

so die F-Secure-Forscher.

Einer der Namen der Command-and-Control-Domains der Malware wurde 2011 von jemandem mit dem Alias John Kasai registriert. Derselbe Name wurde im gleichen Zeitraum für die Registrierung anderer Domains, unter anderem für MiniDuke, genutzt.

„Dies verstärkt die Vermutung, dass OnionDuke und MiniDuke den gleichen Akteuren entstammen, da sie gleiche Infrastrukturen nutzen, obwohl sie verschiedenen Familien von Malware angehören“,

so die Forscher.

Nach der Auswertung von Zeitstempeln und Entdeckungsdaten von beobachteten Beispielen gehen die Forscher davon aus, dass OnionDuke mindestens seit Ende Oktober 2013 aktiv ist. Seit letztem Februar wurde OnionDuke außerdem auch über raubkopierte Software-Downloads via BitTorrent verbreitet.

Tor ist eine Anonymisierungs-Netzwerk, in welchem man die Quelle einer Serveranfrage verstecken kann. Der Empfänger der Nutzeranfrage – in diesem Falle die Seite, von der die Datei heruntergeladen wird – sieht nur den Ausgangsknotenpunkt als Ursprung der Kommunikation. Zu keinem Zeitpunkt sind im Tor-Netzwerk die IP-Adressen der echten Quelle und des Ziels gleichzeitig unverschlüsselt und die Routen im Tor-Netzwerk werden willkürlich festgelegt. Somit werden jegliche Abhörversuche bestmöglich eingedämmt.

Artikel von theregister.co.uk, 27.10.2014: Tor exit node mashes malware into downloads
Artikel von zdnet.com, 27.10.2014: Rogue Tor node wraps executables with malware

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen