Die Schadsoftware Gazer
Die Schadsoftware Gazer wurde erstmalig von einem ESET-Forscher-Team analysiert. Wie welivesecurity.com dazu erläuterte basiert Gazers Erfolg auf der cleveren Methode, wie ausgewählte Ziele ausspioniert werden und der Eigenschaft, wie persistent die Malware auf kompromittierten Systemen verharrt. Sie bettet sich außerhalb des für den normalen User Sichtbaren in das Computersystem ein. Dann werden über einen längeren Zeitraum sensible Informationen über die Backdoor abgeschöpft.
Wie die Forscher entdeckten ist die Backdoor Malware weltweit aktiv. Vorrangig ist jedoch Europa betroffen. Eigenartig war die Entdeckung, dass Gazer hauptsächlich Computer in Griechenland anvisierte.
Angriffe ähneln Turla-Kampagnen
Die Angriffe zeigen die gleiche Vorgehensweise wie in vergangenen Kampagnen der Turla-Hackengruppe, nämlich:
- Anvisierte Organisationen sind Botschaften und Außenministerien;
- First-Stage Backdoor durch Spearphishing verteilt; siehe Skipper
- Noch besser getarnte Second-Stage Backdoor (hier Gazer, in der Vergangenheit Carbon und Kazuar)
- Die Second-Stage Hintertür erhält verschlüsselte Befehle von der Gang via C&C-Server, benutzt legale aber kompromittierte Webseiten als Proxy
- Ähnlich Turla ist auch das Bestreben der Malware, nicht aufzufallen. Dafür ändert die Backdoor Zeichenketten im Code, randomisiert Marker und löscht Dateien unwiederbringlich.
ESET Warnung
Alle Organisationen, ob Regierungs- oder Strafverfolgungsbehörden, Diplomaten oder Menschen aus Unternehmen, sollten die nun entdeckte, anspruchsvolle Bedrohung ernst nehmen und eine mehrschichtige Verteidigung implementieren, um die Risiken einer IT-Sicherheitsverletzung zu reduzieren.
Weiterführende Links:
welivesecurity.com: ESET-Research: Gazer – Backdoor spioniert Botschaften aus
