Angriff nach alter Schule auf Regierungen weltweit

Angreifer haben eine Schwachstelle in Software von Adobe ausgenutzt, um weltweit zahlreiche Regierungs-Stellen und andere Einrichtungen mit der hochspezialisierten Malware "MiniDuke" anzugreifen.
Eine Analyse durch die Security-Firmen Kaspersky Lab und CrySys Lab ergab, dass eine Reihe hochrangiger Zielpersonen angegriffen wurde. Diese gehören Regierungsstellen in Belgien, Irland Portugal, Rumänien, der Tschechischen Republik und der Ukraine an. Darüber hinaus sind in den USA ein Forschungsinstitut, zwei Think Tanks und ein Dienstleister aus dem Gesundheitsbereich ebenso betroffen wie eine bekannte Forschungseinrichtung in Ungarn.

"Das ist ein sehr ungewöhnlicher Cyber-Angriff", kommentierte Kaspersky-Chef Eugene Kaspersky. Denn die Art der Malware ähnelt dem, was vor für diesen Bereich sehr langer Zeit modern war. "Ich kenne diesen Stil der Programmierung aus den späten 90er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben", führte Kaspersky aus.

Früher waren die Methoden bei der Entwicklung von hochkomplexen Viren recht effektiv, wurden inzwischen aber eigentlich längst von anderen Technologien abgelöst. Jetzt kombinierten die Angreifer ihre Fähigkeiten mit Exploits für Sicherheitslücken, um beispielsweise Sandbox-Technologien zu umgehen.

MiniDuke ist in Assembler programmiert und dadurch nur 20 Kilobyte groß. "Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht", erklärte der Security-Spezialist.

Die Angreifer sind derzeit noch immer aktiv und haben ihre jüngsten bekannten Versionen erst am 20. Februar dieses Jahres erzeugt. Die Opfer wurden mittels Social-Engineering-Techniken angegriffen. Die dabei verschickten PDF-Dateien waren sehr professionell erstellt und gaben vor, Informationen der ASEM (Asia-Europe Meetings), zur Außenpolitik der Ukraine und Plänen von NATO-Mitgliedern zu enthalten.

Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe Reader in den Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen. Sobald ein System kompromittiert wurde, ist der sehr kleine Downloader auf der Festplatte des Opfers platziert worden. Dieser war für jedes angegriffene System einmalig und öffnete eine Hintertür. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung.

Die Malware wehrt überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies ist ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen. Letzlich diente die Malware wohl in erster Linie der Beschaffung von Informationen. Malware, Security, Virus, Schädling Malware, Security, Virus, Schädling
Mehr zum Thema: Kaspersky
Diese Nachricht empfehlen
Kommentieren31
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Vera F. Birkenbihl - Kopfspiele Teil 1
Vera F. Birkenbihl - Kopfspiele Teil 1
Original Amazon-Preis
24,99
Im Preisvergleich ab
?
Blitzangebot-Preis
12,97
Ersparnis zu Amazon 48% oder 12,02
Nur bei Amazon erhältlich

Beliebt im WinFuture-Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden