Business Security

Kaspersky Lab: Warnung vor Malware DarkPulsar

Die Malware soll vor allem Systeme mit Windows Server 2003 und 2008 infizieren. Die mutmaßliche NSA-Malware soll zudem zu den Hacking-Tools gehören, die durch die Shadow Broker im April 2017 bekannt wurde. Wer hinter den Angriffen steckt ist bisher noch unklar.

Infizierte Computer entdeckt

Kaspersky Lab hat nach eigenen Angaben Computer entdeckt, die mit einer DarkPulsar genannten Malware infiziert wurden, wie zdnet.de dazu informierte. Die Malware soll aus dem Fundus des US-Auslandsgeheimdienstes National Security Agency (NSA) stammen. Dazu heißt es von den Sicherheitsexperten:

„Wir haben rund 50 Opfer gefunden, gehen aber davon aus, dass die Zahl viel höher ist“

Fundorte waren Ägypten, Iran und Russland. Auf den befallenen Systemen soll in der Regel Windows Server 2003 oder 2008 laufen. Laut Kaspersky Lab haben die Autoren folgende Bereiche im Visier:

  • Atomenergie
  • Telekommunikation
  • IT
  • Luftfahrt
  • Forschung und Entwicklung

Shadow Brokers Tools

Wie weiter dazu verlautete konnte Kaspersky DarkPulsar der NSA zuordnen, da der Exploit aus einer Sammlung von Windows-Hackings-Tools stammt, die die Gruppe Shadow Brokers im April 2017 veröffentlicht hatte. In der Sammlung fand sich auch der Eternal Blue genannte Exploit, der maßgeblich für die Verbreitung von WannyCry, NotPetya und Bad Rabbit benutzt wurde – weswegen sich die Sicherheitsbranche vorrangig um ihn kümmerte.

Forscher von Kaspersky beschäftigten sich in den vergangenen Monaten jedoch intensiver mit den anderen Werkzeugen aus dem Shadow-Broker-Leak. Dazu gehörte FuzzBunch, ein Exploit-Framework, das unter anderem von der Equation Group, einer Offensiv-Einheit der NSA, eingesetzt wurde, um Schadsoftware zu verbreiten. DarkPulsar wiederum soll eine Malware sein, die per FuzzBunch implantiert wird.

Backdoor kann beliebigen Schadcode ausführen

DarkPulsar ist den Sicherheitsforschern zufolge in erster Linie eine Backdoor, die beliebigen Schadcode ausführen soll. Das soll der Code der Administrationsoberfläche von DarkPulsar nahelegen. Die von den Shadow Brokers veröffentlichten Unterlagen sollen jedoch nur besagte Oberfläche beschreiben. Erst eine genauere Analyse der Kaspersky-Forscher brachte auch die Backdoor-Funktion zu Tage und führte schließlich zur Identifikation der mindestens 50 infizierten Systeme.

Kaspersky entdeckte im Code von DarkPulsar aber auch eine Selbstzerstörungsfunktion. Sie sei wahrscheinlich von der Equation Group eingeführt worden, um nach der Veröffentlichung der Hacking-Tools durch die Shadow Brokers die eigenen Spuren zu verwischen. „Die 50 Opfer sind wahrscheinlich nur diejenigen, die die Angreifer einfach vergessen haben“, spekuliere die Forscher.

Autoren noch unklar

Unklar ist laut Kaspersky, wer tatsächlich hinter den Angriffen steckt. Die Forscher schließen nicht aus, dass sie von der Equation Group ausgeführt wurden. Es sei aber auch möglich, dass die Shadow Broker Details zur DarkPulsar-Backdoor bewusst nicht veröffentlicht hätten, um das Tool für eigene Zwecke zu benutzen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben