APT28 alias "Fancy Bear" alias "Sofacy Group" alias "Pawn Storm"
Das Hackerkollektiv, das sich hinter zahlreichen Pseudonymen verbirgt, soll vor allem weltweit Unternehmen, Regierungen und Behörden angegriffen haben, wie n-tv.de dazu informierte. Laut Verfassungsschutz sollen die Hacker bereits seit dem Jahr 2007 aktiv sein. Vermutlich von staatlicher Seite in Russland gesteuert, sollen sie verantwortlich zeichnen für
- Hacks der Demokratischen Partei im US-Wahlkampf, im vergangenen Jahr sowie
- Attacken auf den Deutschen Bundestag
Obwohl aus der Vergangenheit vor allem Angriffe durch die Xagent-Malware auf Windows-Rechner bekannt waren, hat das Sicherheitsunternehmen Bitdefender nun auch eine Malware-Version entdeckt, die auf Macs spezialisiert ist. Damit gelingt es den Angreifern, Passwörter und Backups zu stehlen
Die Funktionsweise der Malware
Die Malware zeichnet sich durch einen modularen Aufbau sowie eine raffinierte Programmierung aus, wie Bitdefender herausfand. Nach Installation erfolgt eine Prüfung auf einen Debugger. Falls eine solche Fehlersuche aktiv ist werden alle weiteren Aktivitäten beendet, um nicht entdeckt zu werden. Anderenfalls wird über eine Internetverbindung Kontakt zum Kommando-Server aufgenommen.
Im Rahmen der Kommunikation werden einzelne Module ausgeführt. Dabei werden Hard- und Software-Konfiguration sowie die laufenden Prozesse analysiert. Die Module können folgendes leisten:
- Dateien installieren
- Screenshots erstellen
- Passwörter abgreifen
- Gespeicherte iPhone-Backups stehlen
Dabei besteht eine große Ähnlichkeit zu Xagent-Versionen für Windows und Linux, wie die Sicherheitsforscher von Bitdefender analysierten. Selbst die Adresse des Kommando-Servers sei nahezu identisch.
Der Trojaner „Komplex“
Den Trojaner namens Komplex vermutet Bitdefender als Instrument der russischen Hackergruppe bei ihren Angriffen auf Macs. Wie verlautet, wurde dieser Schädling bereits von Paloalto Networks entdeckt, er nutzt eine Schwachstelle in der Antivirus-Software MacKeeper aus. Ein Antivirus-Programm, das AV-Test im Juli 2016 als nicht prüfbar aus den Vergleichstests ausgeschlossen hatte. An dieser Stelle wird also deutlich, wie wichtig es ist sich auch als Mac-Nutzer mit einer seriösen Software zu schützen.