Manipulative Cyberspionage
Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt, die zuvor dem russischsprachigen Bedrohungsakteur Turla zugeschrieben wurden. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Diese Installationsprogramme sind zwar ursprünglich nicht mit Malware kompromittiert, können aber mit Schadcodes auf den Opfer-Computer gelangen. Sicherheitsforscher kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgen muss und dass die Betreiber von Reductor eine gewisse Kontrolle über das Ziel-Netzwerk haben müssen.
Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und damit auch die Pseudozufallszahlengenerator des Browsers, mit denen die Kommunikation und der Datenverkehr zwischen Nutzer und HTTPS-Website verschlüsselt wird. Sobald der Browser auf dem infizierten Gerät manipuliert ist, werden alle Informationen und Aktionen des ausgeführten Browser an den Angreifer übermittelt, ohne dass das Opfer hiervon etwas bemerkt.
Eine Neuheit unter den Spywares
Kurt Baumgartner, Sicherheitsforscher bei Kaspersky, zeigt sich überrascht: „Wir haben noch nie gesehen, dass Malware-Entwickler auf diese Weise mit der Browserverschlüsselung interagieren. In gewisser Weise ist das elegant, denn es ermöglicht Angreifern, lange unentdeckt zu bleiben.“ Die Komplexität der Angriffsmethode lege nahe, dass die Entwickler der Malware hochprofessionell sind, unter staatlich unterstützten Akteuren durchaus üblich sei, erklärt Baumgartner weiter. Ein bekannter Bedrohungsakteur konnte jedoch bislang nicht ausgemacht werden, daher werden alle Organisationen dazu aufgefordert, wachsam zu bleiben und um den Schutz von sensiblen Daten zu garantieren, regelmäßig Sicherheitskontrollen durchzuführen.
Weiterführende Links
Hier die ganze Kaspersky-Studie