Turla/Snake: Outlook Backdoor – Analyse der Attacke
Vielleicht können Sie sich daran erinnern, dass vor einem halben Jahr diverse Nachrichtensender von einem großangelegten Hackerangriff berichteten. Dieser Angriff ging auf das Regierungsnetz der Bundesrepublik. Verdächtigt wurde die Hackergruppe Turla (o.a. Snake oder Uroboros). Eine ESET-Analyse deckte nun auf, wie die Methode der Hacker funktionierte. Bei der Analyse wurde außerdem herausgefunden, dass zwei andere europäische Außenministerien und ein großer Rüstungskonzern unbemerkt Opfer des Angriffs wurden.
Die Hackergruppe nutzte eine Backdoor-Methode für den Angriff. Gleich auf mehreren Computern wurde die Backdoor eingeschleust. Zunächst kompromittierten sie eine Lernplattform der Hochschule des Bundes für öffentliche Verwaltung. Das war das Sprungbrett für den Angriff auf das Auswärtige Amt. Das war im März 2017. Erst Ende des Jahres wurde die Sicherheitslücke entdeckt. Öffentlich wurde die Sicherheitslücke durch Medien im März 2018.
Wie konnte es dazu kommen?
Die Backdoor ist das Ergebnis jahrelanger Entwicklung. Bereits im Jahr 2009 hat sie ihre Ursprünge. Die neuste Version, die im April 2018 entdeckt wurde besitzt die Fähigkeit schädliche Windows PowerShell Scripts direkt im Computer-Speicher auszuführen. Die Hacker haben sich vor allem auf den Maildienst von Microsoft – Microsoft Outlook – spezialisiert. Über die Outlook Schnittstelle „Messaging Application Programming Interface (MAPI)“ erhält die Backdoor Zugriff auf die Postfächer der Nutzer.
Hier wurden auf konventionelle Command-and-Control (C&C) Infrastruktur via HTTP(S) weitesgehend verzichtet. Vielmehr werden speziell genertierte PDF-Files per Mail auf die Computer geschleust. In Form eines DLL (Dynamic Link Libary) Moduls kann die Backdoor an einer beliebigen Stelle auf der Festplatte des Zielrechners platziert werden.
Und das alles geschieht ohne das Wissen des Nutzers. Wir von rococom setzen auf die Analyse von ESET und möchten diese an Sie weitergeben.
Funktionsweise der Backdoor
Warum die Nutzer nicht mitbekommen haben, dass Sie ausspioniert wurden?
Immer, wenn eine Mail verschickt oder empfangen wird, erzeugt die Backdoor eine Log-Datei mit Meta-Daten über die Nachricht. In einem PDF-Dokument werden diese Daten gebündelt und an die Hacker geschickt. Die Backdoor überprüft sogar Mails auf Anhänge und kann so auf diese reagieren.
Die ESET-Forscher haben ein solches PDF-Dokument von Turla zwar nicht gefunden, es ist ihnen jedoch gelungen selbst ein solches Dokument von einem Computer aus zu erstellen.
Ein weiteres Mal konnte ESET so einen Hackerangriff bis ins Detail analysieren und so die Sicherheitslücken auf die eigenen Programme übertragen und diese dementsprechend zu verbessern. Aus diesem Grund vertrauen wir auf unseren Partner ESET. Wir geben die Produkte guten Gewissens an unsere Kunden weiter. Mit Sicherheit und ohne Malware mit rococom und ESET.
Quelle: ESET.