BlackEnergy-Malware-Plug-Ins sind weit verbreitet

[ware_item id=33][/ware_item]

BlackEnergy-Malware-Plug-Ins sind weit verbreitet


Global Research von Kaspersky Lab & Das Analyseteam veröffentlichte letzte Woche einen interessanten Bericht über das zum Cyberspionage-Tool gewordene Crimeware-Tool BlackEnergy.

Der ursprüngliche Zweck von BlackEnergy, der vor einigen Jahren erstmals identifiziert wurde, bestand darin, DDoS-Angriffe über seine benutzerdefinierten Plugins auszulösen. Im Laufe der Zeit haben sich BlackEnergy2 und BlackEnergy3 weiterentwickelt und wurden schließlich entdeckt, als sie zusätzliche benutzerdefinierte Plug-Ins heruntergeladen haben, die für Spam-Läufe und das Sammeln von Online-Banking-Informationen verwendet wurden, so die Kaspersky-Forscher Kurt Baumgartner und Maria Garnaeva. In letzter Zeit wurde die Malware vom Sandworm-Team übernommen, einer Gruppe, die sich mit Cyberspionage befasst, einschließlich der Ausrichtung auf industrielle SCADA-Systeme.

Im Kaspersky-Bericht wurden zwei namentlich nicht genannte Opfer von BlackEnergy aufgeführt, die im Sommer 2014 angegriffen wurden:

Der erste war Spear Phishing mit einer E-Mail, die einen WinRAR-Exploit enthielt. Die versteckte ausführbare Datei löschte dann verschiedene BlackEnergy-Plugins.

Das zweite Opfer wurde mit den gestohlenen VPN-Zugangsdaten des vorherigen Opfers gehackt, was zur Zerstörung einiger Geschäftsdaten führte. Wer auch immer Opfer Nummer zwei angriff, war mit Kaspersky nicht besonders zufrieden, da er die folgende Nachricht in einem tcl-Skript hinterließ: „Fuck U, kaspeRsky !! Du bekommst nie eine frische schwarze Energie. “

Die Leichtigkeit, mit der die Cisco-Router des Unternehmens, auf denen alle unterschiedliche IOS-Versionen ausgeführt wurden, kompromittiert wurden, wurde von den Hackern begrüßt. Der Drehbuchautor sagte jedoch: „Danke C1sco Ltd. für die eingebauten backd00rs & 0 Tage. "

In einem kürzlich veröffentlichten Blog-Beitrag von iSIGHT Partners wurde eine Zero-Day-Sicherheitsanfälligkeit von Windows (CVE-2014-4114) beschrieben, die alle Versionen von Microsoft Windows und Server 2008 und 2012 betraf. Diese Sicherheitsanfälligkeit ermöglichte eine zielgerichtete Cyberspionagekampagne mit BlackEnergy NATO, ukrainische Regierungsorganisationen, westeuropäische Regierungen, der Energiesektor in Polen, europäische Telekommunikationsunternehmen und akademische Institutionen in den USA. iSIGHT schrieb diese Kampagne Russland zu.

Und nach Angaben des US-Heimatschutzministeriums versteckt sich BlackEnergy seit 2011 in wichtigen US-Computern und wird die kritische Infrastruktur in Mitleidenschaft ziehen. Laut ABC News haben nationale US-Sicherheitsquellen behauptet, im Besitz von Beweisen zu sein, die auch einen starken Schuldfinger in Richtung Russland weisen, was darauf hindeutet, dass das Sandworm-Team möglicherweise vom Staat gesponsert wird.

Als russisches Unternehmen ist es vielleicht nicht verwunderlich zu erfahren, dass die Kaspersky-Forscher Mutter Russland nicht mehr als Urheber der verschiedenen BlackEnergy-Angriffe identifizierten, obwohl sie fairerweise herausfanden, dass einer der „für diese Router bestimmten DDoS-Befehle“ lautete Eine weitere von Baumgartner und Garnaeva identifizierte IP-Adresse (212.175.109.10) gehört zum Regierungsstandort des türkischen Innenministeriums. Diese beiden Entdeckungen machen es unklar, wer hinter den Angriffen steckt.

Die Forschungen von Baumgartner und Garnaeva zeigen auch, wie die Verbreitung von Plug-Ins für BlackEnergy dem Tool eine breite Palette von Funktionen verliehen hat. Dazu gehören ein DDoS-Tool, das speziell für ARM / MIPS-Systeme entwickelt wurde, die Möglichkeit, Laufwerke zu löschen oder unbootbar zu machen, eine Vielzahl von Plug-ins zum Scannen von Ports und zum Stehlen von Zertifikaten sowie ein Kommunikationskanal zur Datensicherung in Form von Google Plus-Konten könnte verwendet werden, um verschleierte Befehls- und Steuerdaten aus einer verschlüsselten PNG-Bilddatei herunterzuladen. Die Forscher gaben an, dass das in diesem Beispiel verwendete Plugin "grc" eine neue Befehls- und Steueradresse enthalten soll, sie haben jedoch nicht beobachtet, dass eine verwendet wird.

Ein weiteres Kuriosum, das im Kaspersky-Bericht erwähnt wurde, war die Tatsache, dass einige Plug-ins dazu entwickelt wurden, Hardwareinformationen zu infizierten Systemen zu sammeln, einschließlich Motherboard-Daten, Prozessorinformationen und der verwendeten BIOS-Version. Andere Plug-Ins sammelten Informationen über angeschlossene USB-Geräte, was die Forscher zu dem Schluss führte, dass andere, noch nicht identifizierte Plug-Ins eingesetzt werden können, um weitere Schäden zu infizieren, basierend auf den Informationen, die an die Leitstelle zurückgesandt wurden.

BlackEnergy-Malware-Plug-Ins sind weit verbreitet
admin Author
Sorry! The Author has not filled his profile.