Business Security, Tipp des Tages, Verschlüsselung & Datensicherheit

HTTPS nicht mehr ganz so sicher?

Die Malware „Reductor“ wird zum Tool für gefährliche Cyberspionage

Die neue Malware wird zum Tool hochqualifizierter Hacker. HTTPS-Webseiten, bei denen das „S“ eigentlich für sicher steht und die eine verschlüsselte Kommunikation zwischen Nutzer und Webseite garantieren soll, können mit Reductor ausspioniert und Browseraktivitäten von Nutzern öffentlich gemacht werden. Erstmals wurde das gefährliche Tool bei einem Spionageangriff auf diplomatische Organisationen der Gemeinschaft Unabhängiger Staaten (GUS) eingesetzt.

Manipulative Cyberspionage

Durch Reductor kann Ihre gesamte Browseraktivität an Dritte gelangen - sichern Sie die Anonymität Ihrer Daten.
Durch Reductor kann Ihre gesamte Browseraktivität an Dritte gelangen - sichern Sie die Anonymität Ihrer Daten.

Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt, die zuvor dem russischsprachigen Bedrohungsakteur Turla zugeschrieben wurden. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Diese Installationsprogramme sind zwar ursprünglich nicht mit Malware kompromittiert, können aber mit Schadcodes auf den Opfer-Computer gelangen. Sicherheitsforscher kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgen muss und dass die Betreiber von Reductor eine gewisse Kontrolle über das Ziel-Netzwerk haben müssen.

Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und damit auch die Pseudozufallszahlengenerator des Browsers, mit denen die Kommunikation und der Datenverkehr zwischen Nutzer und HTTPS-Website verschlüsselt wird. Sobald der Browser auf dem infizierten Gerät manipuliert ist, werden alle Informationen und Aktionen des ausgeführten Browser an den Angreifer übermittelt, ohne dass das Opfer hiervon etwas bemerkt.

Eine Neuheit unter den Spywares

Kurt Baumgartner, Sicherheitsforscher bei Kaspersky, zeigt sich überrascht: „Wir haben noch nie gesehen, dass Malware-Entwickler auf diese Weise mit der Browserverschlüsselung interagieren. In gewisser Weise ist das elegant, denn es ermöglicht Angreifern, lange unentdeckt zu bleiben.“ Die Komplexität der Angriffsmethode lege nahe, dass die Entwickler der Malware hochprofessionell sind, unter staatlich unterstützten Akteuren durchaus üblich sei, erklärt Baumgartner weiter. Ein bekannter Bedrohungsakteur konnte jedoch bislang nicht ausgemacht werden, daher werden alle Organisationen dazu aufgefordert, wachsam zu bleiben und um den Schutz von sensiblen Daten zu garantieren, regelmäßig Sicherheitskontrollen durchzuführen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben