Cyberwar: Grundlagen - Methoden - Beispiele - Teil 6

Cyberwar: Grundlagen - Methoden - Beispiele - Teil 6

10/2021

 

5.4 Russland

5.4.1 APT28 und APT29

5.4.1.1 APT28 (alias Sofacy, Pawn Strom, Csar Team, Sednit, Fancy Bear, Strontium)

APT 28 (alias Sofacy, Pawn Strom, Csar Team, Sednit, Fancy Bear, Strontium) ist eine Gruppe, die sich auf Ziele mit politischer Relevanz für Russland richtet und die seit 2004 beobachtet wird. Die Zeitzonen für die Kompilierung der Malware decken sich mit der Moskauer Standardzeit, die russische Sprache wird verwendet und typischerweise werden Tools für langfristige Einsätze angewendet. Die eingebauten Hintertüren nutzen das http-Protokoll und den Mailserver des Zielcomputers. APT 28 nutzt eine Vielfalt an Malware (Sofacy, X-Agent, X-Tunnel, WinIDS, Foozer and DownRange) und verfügt auch über Malware für Smartphones.

APT28 hat eine typische Angriffsstrategie:

  • Sie beginnen mit einer gut ausgearbeiteten, gezielten Phishing-E-Mail.

Diese kann auch eine Verknüpfung zu einem interessanten Thema beinhalten. Die URL-Adresse (URL) unterscheidet sich jedoch etwas von der ursprünglichen URL (Tabnabbing), so dass das Opfer auf einer bösartigen Webseite landet. Manchmal wird der Nutzer aufgefordert, die Login-Daten neu einzugeben. Was ein harmloser technischer Fehler zu sein scheint, wird in Wirklichkeit verwendet, um Passwörter (Credential Phishing) zu bekommen. Die Anzahl der gefälschten URLs ist hoch: Die Sicherheitsfirma ESET entdeckte eine irrtümlich öffentliche Liste mit rund 4.400 URLs, die zwischen März und September 2015 durch die Bitly-Methode verkürzt wurden. Mehrere der Domains, die APT28 registrierte, imitierten NATO- Domainnamen, einschließlich der NATO Special Operations Headquarters und der NATO Future Forces Exhibition

  • Auch wurden manchmal watering hole-Angriffe verwendet. Hier werden potenziell interessante Webseiten infiziert, z.B. mit dem Browser Exploitation Framework (BeEF) und während des Besuchs wird der Browser der Zielperson angegriffen.

Die Malware kann in drei Gruppen aufgeteilt werden: im ersten Schritt Software für die Aufklärung, im zweiten Schritt Software wie X-Agent für Spionage, während im dritten Schritt die finale Software wie X-Tunnel, um andere Computer zu erreichen. FireEye nannte 2014 den Downloader Sourface, das Spionage-Tool Eviltoss und das modulare Implantat Chopstick.

 

5.4.1.2 APT29 (alias Cozy Duke/Cozy Bear)

Im Februar 2013 hat Kaspersky Lab mit MiniDuke eine neue Schadsoftware entdeckt, die aus 20 KB Assembler-Code bestand und in PDF-Dateien eingebettet wurde, die als spear-phishing mail versendet wurden. Auf diese Weise wurden insgesamt 59 Computer in 23 Staaten infiziert. Die Schadsoftware fungierte als Brückenkopf zur Installation weiterer Schadprogramme. MiniDuke prüfte, ob es sich auf einem echten Computer oder nur einer virtuellen Maschine (einem simulierten Computer) befand und benutzte Twitter zur Kommunikation mit dem Angriffsserver. Informationen wurden in kleinen Bildern verborgen, einer als Steganographie bekannten Methode. Solche virtuellen Maschinen können Teil von Cloudsystemen sein, aber auch als Prüfumgebungen für Schadprogramme dienen, das Programm blieb dann inaktiv, um die Analyse zu verhindern.

The Dukes sind eine Malwarefamilie mit einer stetig wachsenden Zahl an Werkzeugen wie MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke und GeminiDuke, die von einer Gruppe benutzt werden, die als The Dukes oder auch als APT29 bezeichnet wird. Die Attacken zeigen ein zweistufiges Vorgehen mit einem initialen Einbruch in das attackierte System, dem, falls es sich um ein relevantes Ziel handelt, der Übergang zu einer Langzeitüberwachung folgt. Für dieses Vorgehen sind mehrstufige Ladevorgänge und Backdoors verfügbar. Zugangswerkzeuge (Remote Access Tools RATs) waren u.a. AdobeARM, ATI-Agent und MiniDionis. Um eine Entdeckung zu verhindern, prüft die Malware die Sicherheitseinstellungen des Computers sehr gründlich. Das Profil der infizierten Computer (aus sicherheitspolitischer Perspektive relevant für die russische Föderation), die Zeitzonen der Programmierung, die sich mit der Moskauer Zeit decken, die Nutzung hochspezifischer Spear-Phishing e-Mails und eine Fehlermeldung in russischer Sprache in PinchDuke sind Gründe für die Vermutung, dass es sich um eine hochentwickelte russische Cyberspionage-Gruppe handeln könnte, was 2018 bestätigt werden konnte.

 

5.4.1.3 Der Cyberangriff auf den Bundestag

Der deutsche Bundestag ist seit Jahren ein primäres Angriffsziel, jedoch stehen auch Regierungsbehörden im Fokus wie das Außenministerium und die Botschaften.

In einem Hackerangriff im Jahre 2015 auf den französischen Sender TV5Monde wurde dieser zeitweise von augenscheinlich dschihadistischen Angreifern offline genommen, später ergaben sich jedoch Hinweise auf APT28. Der Server für die Satellitensignale wurde angegriffen und da dieser von einem Drittanbieter gewartet wurde, konnte ein längerer Ausfall des Signals erreicht werden.

Der Verfassungsschutz BfV bekam einen Hinweis aus dem Ausland, dass ein Cyberangriff mit Datenaustausch zwischen zwei Bundestagscomputern mit einem osteuropäischen Server im Gange sei. Untersuchungen bestätigten das Eindringen in mehrere Computer durch infizierte E-Mails, einschließlich der Übernahme von Administratorenrechten.

Im Jahr 2017 wurde eine eingehende Analyse veröffentlicht. Am 30. April 2015 erhielten die Abgeordneten eine E-Mail mit einem Artikel „Ukraine conflict with Russia leaves economy in ruins“. Nach dem Herunterladen wurden mehrere Programme von den Angreifern ausgeführt, darunter das Programm Mimikatz, das nach Admin-Passwörtern sucht. Ein paar Tage später waren 5 von 6 Administratorpasswörtern unter Kontrolle der Angreifer.

Eine Person bemerkte am 08.05.2017 die Unmöglichkeit, den französischen Accent aigu zu benutzen. Das BSI wurde benachrichtigt und fand später die Malware X-Tunnel. Weitere Analysen zeigten eine IP-Adresse, die von einer Firma in Pakistan gemietet wurde und später auch im DNC-Hack, dem WADA-Hack und der CDU verwendet wurde.

Ein anderer Server konnte einer russischen Person namens Roschka zugeordnet werden, die auch scheinbar in den Macron-Hack involviert zu sein schien und für Eureka CJSC arbeitet, die als Sicherheitspartner des russischen Militärgeheimdienstes GRU bekannt ist. Auch bei einem älteren Angriff von Fancy Bears führte ein technisches Problem zu einer Umleitung des Datenflusses und konnte in Moskau zu einem Gebäude der GRU verfolgt werden. Das Programm, das bei diesem älteren Angriff verwendet wurde, war das gleiche für den Bundestag und den DNC-Hack.

Da das komplette Ausmaß der Infektion nicht ermittelt werden konnte, empfahl das BSI den Austausch des gesamten Netzwerkes. Die Bundestags-IT war nicht an das sichere IVBB-Netzwerk angeschlossen. Der Angriff wies Ähnlichkeiten zum Angriff auf den französischen TV-Sender TV5Monde auf.

Einer der für die Attacke auf den Bundestag genutzten Server war identisch zu denen der DNC-Attacke von 2016 und ebenso ein gefälschtes Sicherheitszertifikat.

Auch der OSZE-Hack (der nur einer von vielen gemeldeten Fällen wie Tschechien, Polen, Norwegen usw. war), den man Ende 2016 entdeckte, wies Ähnlichkeiten auf.

Anfang 2017 stellte das BSI einen ungewöhnlichen Verkehr fest und erkannte einen weiteren Angriff auf die Bundestagsmitglieder, mindestens 10 Mitglieder wurden angegriffen. Dazu gehörte das Mitglied der Grünen, Marielouise Beck, deren Computer bereits 2014 von der Malware Miniduke von APT 29/CozyBears infiziert wurde.

Der Angriff wurde durch die Präsentation bösartiger Online-Werbung von einem Dritten auf der Website der Jerusalem Post durchgeführt, eine Methode namens Malvertising.

In 2017 waren malvertising-Kampagnen ein globales Problem, insbesondere durch die Malware RoughTed, die Adware, Exploit kits und Ransomware verbreitete.

 

5.4.1.4 Der DNC hack/Angriff auf die Wahlsysteme

Entdeckungsgeschichte

Das Democratic National Committee (DNC), das formelle Leitungsgremium der

Demokratischen Partei, alarmierte die Sicherheitsfirma Crowd Strike wegen eines

Angriffs auf ihre Systeme.

Das Eindringen von APT29 lässt sich in den Sommer 2015 zurückverfolgen, während APT28 unabhängig davon im April 2016 in das Netzwerk eindrang. Das zweite Eindringen interferierte mit dem ersten und führte zur Entdeckung. APT29 nutzte das SeaDaddy-Programm, welches bei Bedarf das automatische Nachladen von Malwarecode erlaubte, während APT28 mit der X-Agent-Malware agierte, um so Anweisungen aus der Entfernung geben zu können, Dateien übertragen zu können und Tastendrücke protokollieren zu können. Einer der für die DNC-Attacke genutzten Server war identisch zu dem der Attacke auf den Bundestag und ebenso ein gefälschtes Sicherheitszertifikat.

Später bekannte sich ein vorgeblich rumänischer Hacker mit dem Namen Guccifer 2.0 zu den Angriffen, der aber bei Anfragen nicht in der Lage war, auf Rumänisch adäquat zu antworten und er benutzte einen russischen Kommunikationskanal. Infolgedessen verdächtigen die US-Ermittler Guccifer 2.0, wenn existent, ein Mitarbeiter der russischen Nachrichtendienste zu sein, der später auch noch Kontaktdatenlisten von führenden Mitgliedern der Demokratischen Partei veröffentlichte.

Ende August 2016 wurde ein erfolgreiches Eindringen in Onlinewahlsysteme von Illinois und Arizona berichtet, in Illinois wurden Daten von 200.000 Wählern kopiert.

Das FBI fand russische Versuche, in 21 Staaten in Wahlsysteme einzudringen, und als Warnung wurde eine Cyber-Operation von der NSA mit dem Implantieren von Computercode in sensiblen Computersystemen durchgeführt, die Russland finden sollte. Allerdings wurde auch der Surkov-Vorfall im Abschnitt 6.2.3 als Teil der Vergeltung diskutiert.

Der US Intelligence Community Report on Cyber incident Attribution von 2017 und die vorherige Beurteilung durch das Department of Homeland Security der Angriffe von APT28/Fancy Bears und APT29/Cozy Bears als Operation Grizzly Steppe unterstützte die Zuordnung der Angriffe nach Russland.

Im April 2017 wurde ein Russe auf dem Flughafen von Barcelona festgenommen, der vermutlich während des US-Wahlkampfes in den russischen Hack verwickelt war.

 

Das Mueller indictment von 2018

Die Mueller-Anklageschrift (Indictment) hat Beweise dafür vorgelegt, dass Fancy Bears GRU-Mitglieder sind, die in GRU-Einrichtungen arbeiten. Der russische Militärgeheimdienst GRU hat mehrere Einheiten, die sich an Cyberoperationen beteiligen, darunter die Einheiten 26165 und 74455. 12 namentlich bekannte Offiziere dieser Einheiten werden verdächtigt, an den russischen Aktivitäten des Jahres 2016 während der Präsidentschaftswahlkampagnen beteiligt gewesen zu sein, insbesondere am Democratic National Committee (DNC) Hack. Die Einheit 26165 ist in erster Linie verantwortlich und befindet sich in Moskau, während die Einheit 74455 in einem anderen Moskauer Gebäude befindet, das die GRU den Turm nennt. Im März 2016 startete der Angriffe mit Spearphishing. Von einem gehackten Computer eines Mitarbeiters des Democratic Congressional Campaign Committee (DCCC) konnten die Angreifer in das DNC-Netzwerk gelangen.

Im April 2016 wurden Akten des DCCC, des DNC und des Clinton-Wahlkampfteams gestohlen und dann im Juni 2016 vom fiktiven Akteur Guccifer 2.0 und der Plattform DCLeaks veröffentlicht. Innerhalb der Einheit 26165 ist eine Abteilung für die Entwicklung und Verwaltung von Malware zuständig, einschließlich X-Agent, das dann auf DCCC und DNC-Computern eingesetzt wurde. Auch die Fancy Bears/APT28-Malware X-Tunnel wurde implementiert. Eine Linux-basierte Version von X-Agent, die sich mit der GRU-registrierten Domain linuxkrnl.net verständigen konnte, war bis Oktober 2016 aktiv. Die erste Guccifer 2.0-Nachricht wurde auf einem Computer von GRU Einheit 74455 erstellt. DCLeaks wurde auf einem gepachteten malaysischen Server gehostet, der mit Bitcoin-mining finanziert wurde. Die gleiche Bitcoin-Adresse wurde für andere GRU-Operationen verwendet, um Server und Domains zu kaufen, z.B. die gefälschte Website account-gooogle.com und US-Server. Auch der Link linuxkrnl.net wurde durch das Bezahlen mit diesen Bitcoins erneuert.

 

5.4.1.5 Der WADA hack

Die neu gegründete Fancybear.net Website im Sommer 2016 veröffentlichten Informationen der World Anti-Doping Agentur WADA zeigen, dass bestimmte Sportler Ausnahmeregelungen z.B. zur Verwendung von Steroiden bekamen. Der Hack geschah nach Doping-Vorwürfen gegen russische Sportler.

 

5.4.1.6 Der Macron-Hack

Der Wahlkampf des neuen französischen Präsidenten Macron wurde angegriffen und bestimmte Dokumente wurden geleakt. Am 15. März 2017 entdeckte die Sicherheitsfirma TrendMicro Phishing-Emails an Mitarbeiter des Wahlkampfteams und anderen, die sie zu gefälschten Webseiten lotsen sollten. Am 15. April 2017 wurden auch gefälschte Webseiten, die die Namen der Macron-Partei (En Marche!) nachahmen, wie mail-enmarche.fr registriert. Die IP-Nummern hinter den Webseiten waren Teil eines IP-Adressblocks, der von TrendMicro bereits APT 28 zugeschrieben wurde.

 

5.4.1.7 Die Angriffe auf Yahoo

Die Internetfirma Yahoo berichtete über das Hacken von 1 Milliarde Benutzerkonten im Jahr 2013 und 500 Millionen E-Mail-Konten im Jahr 2014. Die Vereinigten Staaten identifizierten 4 Personen, zwei Mitglieder des russischen Geheimdienstes FSB und zwei weitere Hacker, von denen vermutet wird, dass sie den 2014er Hack mit durchgeführt haben. Ein besonderer Schwerpunkt lag auf den Konten von Diplomaten, Militärs und Cybersicherheitsfachleuten. Einer der Verdächtigen ist bereits in Russland inhaftiert, wahrscheinlich als Teil des Michailow-Vorfalls. Allerdings konnte ein Link zu APT28 oder 29 bisher nicht hergestellt werden. Eine erneute Untersuchung des Hacks von 2013 zeigte jedoch 2017, dass alle drei Milliarden Yahoo-Konten geknackt worden waren.

 

5.4.1.8 Die LoJax firmware-Attacke

Die Anti-Diebstahl-Software LoJack der Firma Absolute Software implementiert ein UEFI/BIOS-Firmware-Modul, um seine Entfernung zu verhindern und erschien in trojanisierten Versionen seit mindestens Anfang 2017. Die bösartigen Versionen sind jetzt als LoJax bekannt, die wie LoJack sehr tief in das Computersystem eingebettet sind und deshalb persistieren. LoJax erschien typischerweise mit anderen APT28/Fancy Bears-Modulen, wie dem Backdoor SedUploader, X-Agent und dem Netzwerk-Proxy-Tool X-Tunnel.

 

5.4.1.9 Corona-Krise

Das britische National Cyber Security Centre (NCSC) berichtete, dass die russische APT29 verschiedene Organisationen angriff, die an der Entwicklung von Covid-19-Impfstoffen in Kanada, den USA und Großbritannien beteiligt sind. APT29 führte grundlegende Schwachstellenüberprüfungen anhand bestimmter externer IP-Adressen durch und verwendete die WellMess-Malware für Shell-Befehle und die Dateiverwaltung und das TWellMail-Tool für Befehle oder Skripte mit Datenübertragung an einen hartcodierten Befehls- und Steuerungsserver. Es wurden auch Beispiele für die SoreFang-Malware gefunden, die speziell auf SangFor-Geräte abzielt. Diese Malware wurde jedoch auch von der APT DarkHotel verwendet.

 

5.4.1.10 Weitere Aktivitäten

Weitere Aktivitäten der APT28/Fancy Bears 2017 betrafen die Freigabe von Dokumenten der englischen Football Association und einen Einbruch in das Mailsystem der UNO.

Kaspersky-Experten stellten im Jahr 2018 fest, dass APT28/Fancy Bears jetzt den Fokus auf ehemalige sowjetische Staaten setzt. Sie aktivieren mehrere Server, verwenden für Domain-Registrierung gefälschte Telefonnummern, nutzen Services mit Datenschutz für die Registrierung und solche, die Bitcoins akzeptieren.

Microsoft berichtete im August 2018, dass APT28/Fancy Bears  gefälschte Webseiten konservativer  Think Tanks eingerichtet hatte, um         Nutzerdaten einzufangen, Microsoft konnte dies blockieren.

 

5.4.2 Die Waterbug Group (Turla/Snake/Ouroburos/Venomous Bear/Krypton/Group88)

Waterbug ist der Name für die Gruppe, die die Malware Wipbot/Tavdig/Epic Turla, Uroburos/Turla/Snake/Carbon und agent.btz/Minit einsetzt.

In einem Quellcode wurde der Begriff UrObUr()s verwendet, alternative Schriften zu Uroburos sind Ouroburos und Uroboros. Westliche Geheimdienste schreiben diese APT dem russischen Zivilgeheimdienst FSB zu.

 

5.4.2.1 Die agent.btz-Attacke 2008

Nach einem erfolgreichen Eindringen in das E-Mail-System des Verteidigungsministers im Jahr 2008 mussten 1.500 Pentagon-Systeme abgeschaltet werden. Ein erfolgreicher Eindringversuch in das Pentagon erfolgte über einen infizierten USB-Stick, den ein Soldat im Nahen Osten unwissentlich in einen Pentagoncomputer steckte. Die Infektion mit einem Wurm namens agent.btz/Trojan Minit führte zu einem Paket von Sicherheitsmaßnahmen mit dem Namen Operation Buckshot Yankee, das auch die Schaffung des US Cyber Command einschloss.

Die Multifunktionsmalware namens Ouroburos/Turla/Snake/Carbon, die als rootkit arbeitet, ist in der Lage, innerhalb eines Intranets ein eigenes Peer-to-Peer Netzwerk aufzubauen und weist viele technische Überlappungen zu agent.btz/Trojan Minit auf. In diesem Netzwerk sucht Uroburos dann einen Computer, der doch mit dem Internet verbunden ist, um dann den Datenaustausch zu beginnen. Uroburos wird nicht aktiv, wenn der Computer bereits mit der Malware agent.btz befallen ist, was auf einen gemeinsamen Ursprung hindeutet. Angreifer setzten die Snake/Ouroburos/Turla-Malware gegen ukrainische Computer in 2013/2014 ein. Zusammen mit der Malware agent.btz aus dem Jahre 2008 scheint es sich um eine Malwarefamilie zu handeln, die bis in das Jahr 2005 zurückreicht. Die Angreifergruppe nutzt satellitengestützte Internetlinks für ihre Aktionen.

 

5.4.2.2 Die RUAG-Attacke 2014-2016

Wipbot/Tavdig/Epic Turla wurde nach ersten Hinweisen im September 2014 in den Systemen der schweizerischen Rüstungsfirma RUAG gefunden, die Waterbug Group zog sich aber im Mai 2016 zurück, nachdem sie aus Medienberichten erfahren hatte, dass sie von der RUAG entdeckt worden war.

 

5.4.2.3 Die IVBB-Attacke 2016-2018

Der Informationsverbund Berlin-Bund (IVBB) ist seit 1999 in Betrieb und wird von der Deutschen Telekom betrieben. Er umfasst den Internet- und Telefonverkehr des Bundespräsidialamts, Bundeskanzleramts, von Bundesministerien, Bundesrechnungshof, Sicherheitsbehörden und Teilen von Bundestag und Bundesrat. Es dient der sicheren Übermittlung von Informationen der Stufe VS-NfD (Verschlusssache-nur für den Dienstgebrauch). Die Sicherheit des IVBB wird durch das BSI betreut. Schon nach der Attacke auf das Computernetz des Bundestags 2015 kam es zu längeren nicht aufgeklärten Unregelmäßigkeiten im Telefonnetz. Inwieweit IVBB-Telefonate mitgehört werden konnten oder wurden, ist unklar.

Es gibt nur zwei Ausgänge, je einen in Berlin und Bonn. Übergänge zum IVBB-Internet und IVBB-Sprachnetz werden mit Paketfiltern der hohen Evaluierungsstufe EAL4 geschützt. Es gibt eine doppelte Firewall mit Inhaltsfilter und formalen Filter (IP-Adressblockaden) und Sichere Netzwerkarchitektur (SINA)-Box. iPhones und iPads dürfen nur mit der Sicherheitslösung SecurePIM arbeiten, Sprach- und Faxdaten werden mit Elcrodat 6-2 verschlüsselt. Zur Zeit sind auch Schutzprogramme der Sicherheitsfirma TrendMicro aktiv.

Vor 2 Jahren hatten die Hacker von Snake/Turla/Ouroburos eine eLearning-Lernplattform der Bundesakademie für öffentliche Verwaltung mit Spähsoftware manipuliert, 17 Mitarbeiter hatten sich die Spähsoftware dann auf den eigenen Rechner geladen, 6 Dokumente wurden entwendet.

Ziel war die Abteilung 2 (Referat 205) des Auswärtigen Amtes, zuständig u.a. für Russland. Im Dezember 2017 erfolgte dann ein Hinweis an die Deutschen durch einen ausländischen Nachrichtendienst, das Mobile Response Incident Response Team MIRT des BSI und das ZITIS analysierten die Lage. Dann berichtete jedoch die deutsche Presseagentur Ende Februar 2018 über den Vorgang und daraufhin zog sich der Angreifer zurück. Die APT versuchte jedoch nochmals im November 2018, an E-Mail-Adressen von Bundestagsabgeordneten zu gelangen.

 

5.4.2.4 Die Attacke auf die französische Marine 2017-2018

Turla griff gezielt 12 Beamte an, um die Ölversorgungskette der französischen Marine in den Jahren 2017 und 2018 zu enthüllen, die Franzosen bevorzugten jedoch die diskrete Klärung von Vorfällen statt öffentlicher Anklagen.

 

5.4.2.5 The OliRig-Attacke 2019

Im Jahr 2019 setzte Turla seine Aktivitäten fort. Die neue Malware Topinambur wurde gegen Personen eingesetzt, die versuchten, über sichere VPN-Tunnel zu kommunizieren.

Außerdem gelang es ihnen, den Command and Control-Server der iranischen OilRig-Gruppe zu infiltrieren, der möglicherweise mit APT34 identisch ist und die Überwachung ihrer Cyber-Aktivitäten ermöglicht.

 

5.4.3 Die Sandworm/Quedagh APT (Black Energy/Telebots/Voodoo Bear)

Der britische Geheimdienst GCHQ assoziiert Sandworm und Black Energy mit dem russischen Militärgeheimdienst GRU (Russland dementierte).

 

5.4.3.1 Die Black Energy-Attacke

The Sandworm oder Quedagh-Gruppe (die Namen beziehen sich auf gefundene Referenzen zur Science-Fiction Welt Dune – der Wüstenplanet) nutzt die ursprünglich als Crimeware entwickelte und dann modifizierte Malware BlackEnergy gegen relevante Zielcomputer.

BlackEnergy ist seit 2007 verfügbar und mittlerweile existiert die Variante BlackEnergy3. BlackEnergy wurde ursprünglich erschaffen, um Botnetze für DDoS-Attacken zu errichten. Die Sandworm/Quedagh-Gruppe hat Modifikationen der herkömmlichen BlackEnergy-Malware vorgenommen und sie um vielfältige Funktionen ergänzt wie das Kapern inaktiver Laufwerke und die Fähigkeit zum umfangreichen Informationsdiebstahl.

Das US ICS-CERT hat eine Malwarekampagne entdeckt, die mindestens seit 2011 läuft, verschiedene ICS-Systeme betraf und bei denen eine Variante von BlackEnergy bei vernetzten Benutzerschnittstellen (auch Mensch-Maschine-Schnittstellen bzw. human-machine interfaces HMIs) eingesetzt wurde. Unter anderem waren die Systeme GE Cimplicity, Advantech/Broadwin WebAccess, und Siemens WinCC betroffen.

Im Sommer 2014 fand die IT-Sicherheitsfirma F-Secure Labs diese Variante bei einem Angriff gegen ein ukrainisches Ziel, davor wurde bereits die NATO im Dezember 2013 angegriffen. Jedoch bestätigte die NATO, dass die geheimen operativen Netzwerkbereiche nicht betroffen waren, da diese vom Internet abgetrennt sind.

Am 23.12.2015 kam es zu Stromausfällen in der Ukraine durch Cyberattacken bei drei regionalen Stromanbietern, die insgesamt ca. 225.000 Kunden betrafen. Drei weitere Anbieter waren betroffen, hatten aber keine Stromausfälle. Die Eindringlinge waren in der Lage, Stromverbindungen aus der Distanz zu öffnen, was zum Stromausfall führte, was in koordinierter Form in einem kleinen Zeitfenster geschah. Telephone denial of service-Attacken (TDoS attacks) wurden genutzt, um die Anbieter–Hotlines mit Anrufen zu fluten, so dass die Kunden die Stromausfälle nicht telefonisch weitermelden konnten.

Am Schluss wurde die Wiper-Malware KillDisk benutzt, um die Systeme zu beschädigen.

Für diesen Vorfall in der Ukraine konnte das US ICS-CERT jedoch nicht bestätigen, dass die BlackEnergy3-Variante die Stromausfälle verursacht hatte, die Stromverbindungen konnten von den Angreifern auch ohne diese Schadsoftware geöffnet werden.

 

5.4.3.2 Die Industroyer-Attacke

Am 17. Dezember 2016 verursachte die Malware Industroyer/CrashOverride, die speziell für Angriffe auf intelligente Netze entworfen wurde, einen Blackout in Kiew, der einer neuen APT namens Electrum zugeschrieben wurde, die mit der Sandworm/Quedagh Gruppe verbunden ist.

Die Malware beeinflusste eine einzelne Übertragungs-Unterstation durch die Installation einer Hintertür, der ein Launcher folgte, danach Payloads einschließlich IEC104-Protokollbefehlen und schließlich eine Wiper-Malware. Die Malware verwendete hartcodierte Proxyserver einschließlich TOR-Knoten.

 

5.4.3.3 Die Petya/Not-Petya/MoonrakerPetya-Attacke

Es ist zu beachten, dass der vorhergehende MoonrakerPetya-Angriff erst nach dem NotPetya-Angriff entdeckt wurde. Während die Zuordnung zur GRU durch die CIA vom GCHQ bestätigt (und von Russland dementiert) wurde, ist aus dem Angriff von MoonrakerPetya erkennbar, dass dies der Sandworm/Quedagh-Gruppe zugeschrieben werden konnte.

Der MoonrakerPetya-Angriff war nur ein kleiner Angriff auf ein paar Computer, erst der NSA-Exploit EternalBlue erlaubte dann einen großen Angriff.

Der Sandworm/Quedagh APT hat 2017 einen NotPetya-Vorläufer namens MoonrakerPetya veröffentlicht. Im Dezember 2016 setzten die Angreifer den Wurm MoonrakerPetya ein, der vermutlich ein Vorläufer von NotPetya (auch bekannt als Petya, ExPetr, Nyetya, EternalPetya) war. Der Wurm ist eine DLL-Datei, die unter dem Namen msvcrt120b.dll im Windows-Verzeichnis angelegt wird, während der interne Name moonraker.dll ist. MoonrakerPetya enthält Code, der den Computer unbootbar macht, aber nur in einer kleinen Anzahl von Fällen verwendet wurde.

Wie für WannaCry, wurde am 23. Mai 2017 zunächst ein Angriff mit NSA-Exploits gestartet, der wenig Aufmerksamkeit erregte, da kein Schaden sichtbar war. Der NSA-Exploit Eternal Rocks kombinierte 7 NSA-Exploits (EternalBlue, DoublePulsar, EternalRomance, EternalChampion, EternalSynergy, ArchiTouch und SMB Touch). Die Malware Petya nutzte die EternalBlue und EternalRomance-Exploits Ende Juni 2017. Bevor sie aktiv wird, lädt sie den TOR-Browser herunter, um eine verdeckte Kommunikationsleitung zu errichten, um den Server zu steuern.

Die Malware, die anfangs wie die bereits bekannte Ransomware Petya aussah, war anders, auch gegenüber anderer Ransomware wie Mischa und Goldeneye. Zusätzlich zu EternalBlue und EternalRomance benutzte es die ukrainische Buchhaltungssoftware Me-doc, indem sie ein bösartiges Update injizierte. Dies war aufgrund eines verfälschten Microsoft Sicherheitszertifikats möglich. Diese Unterschiede erklären, warum einige Autoren es Not-Petya oder Petya2017 nannten.

Sobald das ‚neue‘ Petya einen Computer infiziert hatte, suchte es automatisch nach anderen Computern im Netzwerk, die auch infiziert werden sollten.

Obwohl die attackierten Nutzer aufgefordert wurden, Geld zu bezahlen, scheint es, dass die UserID, die für die Anfrage gezeigt wurde, nur eine sinnlose Zufallszahl war und die Malware scheint eine Wiper Malware zu sein, die den Master Boot Record und andere Dateien überschreibt. Aus diesem Grund hatte die Sperrung des Posteo-Mail-Kontos, die als Kontaktadresse zur Zahlung präsentiert wurde, keine Auswirkung mehr.

Eine große Anzahl von Unternehmen wurde getroffen, z.B. Merck in den USA, Maersk in Dänemark, Milka in Deutschland (die dann an mehreren Tagen Produktionsstopp litten), aber auch russische Unternehmen und das Atomkraftwerk Tschernobyl.

Die Verwendung eines verfälschten Sicherheitszertifikats, die Komplexität der Malware und die mangelnde Rentabilität, da die Opfer ohnehin nicht bezahlen konnten, deuteten stark auf einen Angriff eines Staatsakteurs hin.

Ende 2017 berichtete die CIA, dass sie die Petya/NotPetya-Attacke mit ziemlicher Sicherheit (‘with high confidence’) dem militärischen Nachrichtendienst GRU zuordnen konnte.

 

5.4.3.4 Grey Energy/Bad Rabbit/Telebots

Im Oktober 2017 nutzte die Gruppe auch die BadRabbit-Malware-Familie für Anschläge. Ihre Telebots-Malware wurde nur in der Ukraine eingesetzt.

Das Design und die Architektur der GreyEnergy-Malware, die seit 2015 zu existieren scheint, ähneln sehr der BlackEnergy-Malware, aber eine der GreyEnergy-Proben wurde mit einem gültigen digitalen Zertifikat der taiwanesischen Firma Advantech unterzeichnet, die ICS und IoT-Komponenten herstellt, so dass das Zertifikat möglicherweise gestohlen wurde.

 

5.4.3.5 Die VPN Filter-Attacke 2018

Das neue modulare Malware-System VPNFilter betraf 2018 mindestens 500.000 Netzwerkgeräte in mindestens 54 Ländern, insbesondere aber in der Ukraine, indem es eine spezifische C2-Infrastruktur für dieses Land nutzte.

Die Malware hat Überschneidungen mit BlackEnergy und infiziert Linksys, MikroTik, Netgear und TP-Link Netzwerkgeräte und QNAP-Netzwerk-angeschlossene Speichergeräte.

Es handelt sich um eine dreistufige Malware. Stufe 1 ist die erste IoT-Malware, die nach einem Neustart fortbestehen kann und Befehls- und Kontrollmechanismen nutzt, um den Stage 2 Malware-Einsatzserver zu kontaktieren. Die Malware der Stufe 2 ist für die Datenerfassung, wie Dateien, die Befehlsausführung, die Datenexfiltration und das Gerätemanagement zuständig. Einige Versionen der zweiten Stufe haben eine Bricking-Fähigkeit, die einen kritischen Teil der Firmware des Geräts mit Nullen überschreibt und das Gerät neu startet, was es unbrauchbar macht. Darüber hinaus gibt es verschiedene Stage 3 Module als Plugins für Stufe 2. Diese Plugins können z.B. die Modbus SCADA-Protokolle überwachen und die Stufe 2-Malware über TOR kommunizieren lassen. Die C2-Kommunikation und zusätzliche Malware-Downloads können über TOR oder SSL-verschlüsselte Verbindungen erfolgen und ein Programmierfehler in der Entschlüsselungsroutine ähnelten Befunden in Black Energy.

 

5.4.4 Die Dragonfly/Energetic Bear APT

Die Hackergruppe Dragonfly (Energetic Bear/Crouching Yeti Koala/Group 24/IronLiberty) drang bei den       Anbietern von ICS-Programmen ein, so dass alle Nutzerunternehmen die Malware automatisch mit dem nächsten Update in ihre Programme luden. Die Gruppe nutzt die Havex/Backdoor Oldrea-Malware zur Infiltration und Modifikation von ICS- und SCADA-Systemen und installiert eine Backdoor. Zusätzlich zur Infektion von Anbietern von ICS-Programmen boten die Hacker ‚Wasserlöcher‘ (watering holes) an, d.h. sie infizierten häufig besuchte Webseiten der Zielgruppe, um die Besucher dann zu anderen bösartigen Webseiten umleiten zu können und zudem wurden e-Mails mit infizierten PDF-Dateien eingesetzt. Als weiteres Werkzeug diente Trojan.Karagany, der aber auch auf dem Schwarzmarkt verfügbar ist. Die Arbeitszeiten (Programmierzeitstempel der Malware) lassen die Gruppe in Osteuropa (GMT plus 4 Stunden) vermuten.

Im Mai und Juni 2017 war der US-Energiesektor Ziel von Cyberangriffen. Die US-Behörden DHS und FBI untersuchten dies; unter den Zielen war das Kernkraftwerk Wolf Creek bei Burlington in Kansas, aber seine Operationen waren nicht betroffen. Die Angriffe waren die gleichen wie die Taktik der APT Dragonfly (Energetic Bear/Crouching Yeti/Koala). Zum Angriff wurden gefälschte Lebensläufe für Kontrollingenieur-Jobs, watering hole-Attacken und Man-in-the-Middle-Attacken angewendet. so dass diese Attacke auch Dragonfly 2.0 genannt wurde. Beide Angriffswellen Dragonfly und Dragonfly 2.0 nutzten exklusiv die Schadsoftware Trojan.Heriplor. Es wurden Bedenken laut, dass die Angriffe dazu dienten, die Kontrolle zu erlangen, um in Zukunft ggf. Sabotageakte durchführen zu können.

 

5.4.5 Die Triton/Temp.Veles/Trisis-Attacke

Ende 2017 wurde bei einem Ziel im mittleren Osten eine neue ICS-Malware entdeckt, die Triton oder Trisis genannt wird. Die Malware Triton/Trisis richtet sich speziell gegen das Schneider Electric’s Triconex Safety Instrumented System (SIS). SIS-Systeme führen Notabschaltungen bzw. Produktionsstops in kritischen Situationen aus, die Intrusion kann von außen solche Abschaltungen anlaßlos erzwingen oder auch im Notfall verhindern und so die Produktion beschädigen.

Der Schutz eines solchen SIS-Systems durch eine gesonderte Firewall kann eine Fernwartung (remote access engineering) behindern, so dass oft kein solch gesonderter Schutz vorliegt. Die israelische Cybersicherheitsfirma Cyber X berichtete, dass es sich um ein saudisches Ziel gehandelt hätte, das vom Iran aus angegriffen worden sei und die Malware schon gegen mehrere Ziele zum Einsatz kam.

Ende 2018 konnte FireEye die Malware Russland zuordnen. Die Entwicklung von Triton wurde höchstwahrscheinlich vom Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) unterstützt, aus folgenden Gründen: Eine Person mit Verbindungen zu dem Institut war in die Malware-Entwicklung eingebunden, Malwaretests des CNIIHM hingen wiederum sehr wahrscheinlich mit den Aktivtäten der Gruppe Temp.Veles zusammen, einem Arbeitsbegriff für die Gruppe, die Triton nutzt; zudem wurde eine IP-Adresse des CNIIHM für Aktivitäten rund um die Triton-Attacke verwendet, und das Institut verfügt über Forschungssektionen zur kritischen Infrastrukturen und Waffenentwicklung. Weitere einzigartige Dateien und Tools wurden gefunden, zudem testete Temp.Veles Eindringversuche schon seit 2013, was schließlich in die hochentwickelte Triton-Attacke mündete. Zudem passen Spracheinstellungen und Artefakte (Sprachfehler in Programmen) sowie die primären Arbeitszeiten sehr gut zu dieser Zuschreibung.

Da es sich um ein staatliches Forschungsinstitut handelt, ist es fraglich, ob es sich um eine eigene APT oder nur um einen Malware-Anbieter für bereits bekannte APTs handelt.

In der Zwischenzeit (2019) wurde spekuliert, ob neue Triton-Varianten entwickelt wurden, die eine breitere Palette an SIS-Systemen gefährden könnten, jedoch kam es bis 2020 zu keinem weiteren Vorfall.

 

5.4.6 Cloud Atlas/Inception/Red October/Rocra

Eine weitere zielgerichtete Infektion diplomatischer und Regierungseinrichtungen war Red October von 2007-2013. Durch spear-phishing wurde ein Trojaner auf den infizierten Computern platziert, um unter anderem auch Dateien, die mit der klassifizierten Software acid cryptofiler bearbeitet wurden, zu extrahieren. Im Dezember 2014 tauchte eine ähnliche Malware für Smartphones unter dem Namen Cloud Atlas/Inception wieder auf.

Mittlerweile wird davon ausgegangen, dass sich die APT hinter dieser Malware zumindest mit Red October alias Rocra überschneidet oder identisch ist.

Cloud Atlas setzte seine Aktivitäten 2018/2019 mit seiner neuen Malware PowerShower fort, einem bösartigen PowerShell-Tool, das seit Oktober 2018 verwendet wird.

 

Klaus Saalbach; 2020

https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598

https://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

 

Cybersecurity

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen