- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware "Olympic Destroyer" macht Schlagzeilen


Die Spuren sind eindeutig, doch wer hat sie gelegt? - Cyberattacken auf Olympia unter falscher Flagge
Kaspersky Lab entlarvt hochentwickelte False Flag in der Olympic-Destroyer-Malware mit neuer Zuschreibungsmethode

- Anzeigen -





Kaspersky Lab veröffentlichte neue Untersuchungsergebnisse über die Malware ,Olympic Destroyer‘, die während der olympischen Winterspiele in Pyeongchang IT-Systeme und Infrastruktur angegriffen hat. Die Studie zeigt: Die Wurm-Malware wurde von den Hintermännern mit einer besonders raffinierten falschen Flagge (False Flag) ausgestattet, um ihre wahre Herkunft zu verbergen.

Während der Winterspiele machten nicht nur die sportlichen Leistungen, sondern auch die Malware Olympic Destroyer Schlagzeilen. Der Wurm legte im Vorfeld der Eröffnungsfeier in Pyeongchang zeitweise die IT-Systeme lahm. So fielen Monitore und WLAN-Angebote aus, aber auch die Website der Olympischen Spiele, so dass Besucher beispielsweise keine Karten mehr drucken konnten. Laut Kaspersky Lab waren zudem Einrichtungen an den Skipisten in Südkorea betroffen: Zugänge und Skilifte in den Skigebieten funktionierten nicht mehr. Auch wenn die Malware letztlich keine gravierenden Folgen hatte, zeigte sie doch ihr zerstörerisches Potenzial.

Die Cybersicherheitsbranche ist jedoch weniger an den tatsächlichen oder möglichen Schäden durch diese Cyberattacke interessiert, sondern eher an der Enttarnung der Hintermänner. Wahrscheinlich gab es bei keinem Cyberangriff zuvor so viele Vermutungen über dessen Zuschreibung wie im Fall Olympic Destroyer. Noch Tage nach seiner Entdeckung arbeiteten Analyseteams aus aller Welt gemeinsam an einer möglichen Zuschreibung der Malware zu Russland, China oder Nordkorea. Die Experten untersuchten dazu eine Reihe bereits bekannter Merkmale, die Akteuren im Bereich Cyberspionage und Sabotage zugeschrieben wurden und die aus den genannten Ländern stammen oder im Dienst der jeweiligen Regierungen
stehen könnten.

Auch die Kaspersky-Experten wollten wissen, welche Hackergruppe hinter der Malware steckt. An einem bestimmten Punkt ihrer Untersuchungen stießen sie auf einen Hinweis, der ganz klar auf eine Verbindung zur Lazarus-Gruppe hindeutete. Die berüchtigte Gruppe wird mit Nordkorea in
Zusammenhang gebracht.

Die Zuordnung beruhte auf einer eindeutigen Spur, welche die Angreifer hinterlassen hatten. Die Kombination bestimmter Features der Entwicklungsumgebung, die sich in den Dateien wiederfinden, kann als eine Art Fingerabdruck angesehen werden, mit dem sich manchmal die Hintermänner der Malware und ihre Projekte identifizieren lassen. Bei dem Sample, das Kaspersky Lab analysiert hatte, zeigte dieser Fingerabdruck eine hundertprozentige Übereinstimmung mit früheren Lazarus-Malware-Komponenten und keinerlei Verbindungen zu anderen, bislang bei Kaspersky Lab bekannten Dateien, egal ob schädlich oder unschädlich. Da es weitere Ähnlichkeiten hinsichtlich der eingesetzten Taktiken, Techniken und Prozeduren (TTPs) gab, nahmen die Experten zunächst an, Olympic Destroyer sei eine Operation von Lazarus. Kaspersky Lab untersuchte jedoch auch die geschädigten Einrichtungen in Südkorea. Dort stießen die Experten auf Ungereimtheiten zu den Lazarus-typischen Prozeduren. Aus diesem Grund und wegen der Motivlage des Angriffs begutachteten die Kaspersky-Experten das außergewöhnliche Artefakt erneut.

Bei dieser zweiten Untersuchung der Hinweise mit einer manuellen Verifikation jedes einzelnen Merkmals erkannten die Experten, dass das Set der Merkmale nicht zum Code passte. Es wurde gefälscht, um eine perfekte Übereinstimmung mit dem Fingerabdruck von Lazarus zu suggerieren.

Die Experten werten daher den Fingerabdruck der Merkmale als einen hochentwickelten False-Flag-Hinweis, der ganz bewusst in die Malware eingebaut wurde. Bei der Gefahrenanalyse sollte der Eindruck entstehen, einen unzweifelhaften Hinweis gefunden zu haben und so von einer weiteren, intensiveren Analyse absehen zu können.

Geopolitische Lage: Sorgfalt bei der Zuschreibung wichtig

"Nach unseren Informationen wurde der von uns gefundene Hinweis noch nie bei einer Zuschreibung verwendet. Dennoch haben die Angreifer beschlossen, ihn zu nutzen, in der Annahme, jemand würde ihn finden", erklärt Vitaly Kamluk, Head of APAC Research Team bei Kaspersky Lab. "Sie setzten darauf, dass eine Fälschung des Artefakts nur sehr schwer zu beweisen ist. Das ist so, als hätten Kriminelle die DNA eines Dritten gestohlen und würden diese dann statt ihrer eigenen am Tatort hinterlassen. Wir haben entdeckt und können auch beweisen, dass die am Tatort gefundene DNA absichtlich dort platziert wurde. All das zeigt den enormen Aufwand, den Angreifer aufzuwenden bereit sind, um so lange wie möglich unentdeckt zu bleiben. Wir haben immer gesagt, dass die Zuschreibung im Cyberspace sehr schwierig ist, weil viele Dinge gefälscht werden können. Olympic Destroyer ist dafür ein sehr gutes Beispiel."

Kamluk führt eine weitere Problematik an: "Was wir aus der Angelegenheit lernen konnten ist, dass die Zuschreibung von Cyberattacken äußerst sorgfältig betrieben werden muss. Zieht man in Betracht, wie politisch aufgeladen der Cyberspace derzeit ist, könnte eine falsche Zuordnung zu schweren Konsequenzen führen. Akteure könnten versuchen, Einschätzungen der Sicherheitsbranche zu manipulieren und die geopolitische Agenda zu beeinflussen."

Tatsächlich steht für Olympic Destroyer die genaue Zuschreibung noch aus, denn die Malware ist ein einzigartiges Beispiel für die Implementierung einer hochentwickelten falschen Flagge. Jedoch haben die Kaspersky-Experten ausmachen können, dass die Angreifer zum Schutz der Privatsphäre den Dienst NordVPN und einen Hosting Provider namens MonoVM genutzt haben. Beide akzeptieren Bitcoins. Diese und weitere ermittelte TTPs wurden bereits von Sofacy genutzt, einem russischsprachigen Akteur. (Kaspersky Lab: ra)

eingetragen: 11.03.18
Newsletterlauf: 07.05.18

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Stromausfall durch eine Cyberattacke

    Die Sicherheitsforscher von Eset haben ein neues Malware-Framework enttarnt. Dabei handelt es sich um eine Art Toolsammlung, die aus mehreren Komponenten besteht. Das Framework mit der Bezeichnung GreyEnergy wird höchstwahrscheinlich von der gleichen Gruppe Cyberkrimineller betrieben, die hinter BlackEnergy, Telebots und vermutlich auch NotPeya stecken. Vergangene Woche deckte Eset auf, dass auch die Malware Industroyer auf das Konto von Telebots geht.

  • G Data entdeckt Cybercrime-Hotspot in der Ukraine

    Eine neue Version der GandCrab-Ransomware erregte die Aufmerksamkeit unserer Analysten. Bei genauerem Hinschauen fanden sie Hinweise auf ein ganzes kriminelles Netzwerk in der Ukraine. Bei der Analyse einer neuen Version der GandCrab-Ransomware haben G Data-Sicherheitsforscher ein ganzes Netzwerk krimineller Aktivitäten entdeckt, die aus einem zusammenhängenden IP-Bereich aus der Ukraine heraus betrieben werden. Die vermutlich unter falscher Adresse registrierten IP-Adressen zeigen Hinweise auf illegales Cryptojacking, Phishing-Seiten und Dating-Portale. Zuletzt wurde GandCrab in Version 4 gegen Personalabteilungen eingesetzt. Ransomware wird in Untergrundforen an Kriminelle verkauft oder vermietet. Das ist wohl auch im Falle von GandCrab v5 so. Allerdings will die Person hinter der IP-Adresse sich offenbar nicht auf nur eine kriminelle Aktivität verlassen, um Einnahmen zu generieren.

  • Trojaner-App extrem gefährlich

    Manche Entwickler mobiler Anwendungen meiden die traditionellen App-Stores. Das kommt Cyber-Kriminellen sehr entgegen, wie der neue Trojaner GPlayed beispielhaft zeigt. Diese als App getarnte Malware verwendet ein Symbol, das dem Logo des Google Play Store zum Verwechseln ähnlich sieht. Zudem nutzt sie den Namen "Google Play Marketplace", um sich zu tarnen. Was diese Malware unberechenbar macht, ist die Fähigkeit, sich nach der Bereitstellung zu verändern. Dazu hat der Entwickler die Möglichkeit eingerichtet, aus der Ferne Plugins zu laden, Skripte einzuspeisen und sogar einen neuen ausführbaren .NET-Code zu generieren.

  • Neue Backdoor-Variante

    Der aktuelle BSI Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind. Immer stärker in den Fokus rücken dabei Infrastrukturanbieter. Bereits im vergangenen Jahr war es Angreifern gelungen, in der Ukraine mit dem Schadprogramm Industroyer und Blackenergy Energieversoger und Kraftwerke anzugreifen. Das Resultat: In Teilen der Ukraine brach die Stromversorgung für mehrere Stunden komplett zusammen. Neueste Eset Analysen zeigen, dass diese Cybercrime-Gruppierung jetzt mit den Online-Kriminellen zusammenarbeitet, die für die Entwicklung von Wannacry und NotPetya verantwortlich waren. Das daraus resultierende Cyber-Attacker Know-how hebt das Gefahrenpotential für KRITIS-Betreiber auf ein vollkommen neues Niveau. Deutschland und andere europäische Staaten könnten nach Einschätzung von Eset zukünftig stärker als bisher in den Fokus von Cyber-Terroristen geraten.

  • Wandlungsfähigkeit & Experimentierfreude

    Es gibt eine neue Entwicklung bei der Verbreitung der Malware ,KopiLuwak' des russischsprachigen Bedrohungsakteurs Turla (auch bekannt als Snake oder Uroburos): Experten von Kaspersky Lab berichten, dass das Schadprogramm einen nahezu identischen Code nutzt, der erst vor einem Monat im Zuge der Zebrocy-Operation, als Teilgruppe von Sofacy (ebenfalls russischsprachig, auch bekannt als Fancy Bear und ATP28), verwendet wurde. Die Kaspersky-Analyse über vier derzeit aktive Turla-Cluster zeigt zudem, dass es bei Sofacy und Turla Überschneidungen der anvisierten Ziele gab: geopolitische Hotspots in Zentralasien sowie sensible Regierungs- und Militäreinheiten. KopiLuwak (benannt nach einer seltenen Kaffeesorte) wurde erstmalig im November 2016 entdeckt und verbreitet Dokumente mit Malware und aktivierten Makros, die neue, schwer analysierbare Javascript-Malware hinterlassen, über die die Angreifer bei den anvisierten Opfern System- und Netzwerkaufklärung betreiben konnten.