Hackergruppe aus Russland
Die Hackergruppe, die wahrscheinlich aus Russland stammen soll, hat sich auf Politiker und Journalisten spezialisiert. Wie zdnet.de dazu ausführte verteilt sie eine Variante des Backdoor-Trojaners KopiLuwak an Teilnehmer eines Treffens der G20 Task Force für die Digital Economy, das im Oktober in Hamburg stattfinden soll. Die Malware ist im Anhang einer E-Mail-Einladung des Bundesministeriums für Wirtschaft und Energie versteckt.
Die Erkenntnisse dazu gehen auf Untersuchungen der Sicherheitsforscher von Proofpoint zurück. Sie vertreten die Auffassung, dass die Einladung echt ist und bei einem früheren Angriff gestohlen wurde. Das zeigte auch ein Vergleich der Metadaten der Einladung mit einer offiziell auf der Website des Bundeswirtschaftsministeriums angebotenen PDF-Datei.
KopiLuwak-Backdoor
Wie verlautet kommt die Einladung der Hacker mit einem JavaScript-Dropper, der wiederum ein ebenfalls JavaScript basiertes Entschlüsselungsprogramm installiert, das schließlich die KopiLuwak-Backdoor entschlüsselt und ausführt. Die Backdoor kommuniziert mit Befehlsservern, die laut Proofpoint legitim sind. Sie wurden jedoch von den Hackern kompromittiert, um als Befehlsserver für ihre Malware genutzt werden zu können.
Obwohl aus Malware-Sammlungen bekannt, wurde die neue KopiLuwak-Backdoor noch nicht bei Angriffen entdeckt. Das erhärtet den Verdacht, dass die bisher unentdeckte Schadsoftware den Angreifern möglicherweise Zugang zu vertraulichen Informationen von Regierungsvertretern, Diplomaten oder Wirtschaftsexperten, die an dem Treffen im Oktober in Hamburg teilnehmen, verschafft hat.
CERT Bund informiert
Laut Proofpoint wurde das zum Bundesamt für Sicherheit in der Informationstechnik gehörende Computer Emergency Response Team der Bundesverwaltung (CERT Bund) informiert. Die Fähigkeit von KopiLuwak weiteren Schadcode nachzuladen und auszuführen bedeutet, dass bei den meisten Windows-Betriebssystemen ein sehr hoher Schaden entstehen könnte.
Wie die Sicherheitsforscher von Proofpoint an Hand der verwendeten Malware feststellen konnten wurde KopiLuwak bereits mehrfach bei Kampagnen der Turla-Gruppe eingesetzt, die Verbindungen zur russischen Regierung haben soll.
Weiterführende Links:
proofpoint.com: Turla APT actor refreshes KopiLuwak JavaScript backdoor for use in G20-themed attack
zdnet.de: Hacker nehmen Besucher von G20-Event in Hamburg ins Visier
