zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



Inserieren Motiv Anbieter 120x600
 
 Aktuelle News 

Das ZTE Axon M mit Dual Screen revolutioniert das mobile Benutzererlebnis
(20.10.2017)
Das eBay Plus WOW! Weekend – Das ganze Wochenende 15 Prozent Rabatt
(19.10.2017)
Amazon erweitert Dash Button Auswahl in Deutschland
(18.10.2017)

News-Archiv von
Nach News-Eintr�gen zu 

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
MEDIONshop
 Testberichte 
H�ttest Du's gewu�t?
Alles ohne TweakUI (Teil 2):
AAPC zeigt, wie's geht!
 Viren 
56 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD

wkda_adv1_ermitteln_468x60

Suche nach dem APT-Urknall: 20 Jahre alte Attacke immer noch relevant

Kaspersky Die Equation Group gilt als einer der ersten Cyberspionage-Akteure. Sollten sich allerdings neue Untersuchungsergebnisse von Kaspersky Lab [1] erhärten, könnte eine mögliche Verbindung der 1990er-Kampagne Moonlight Maze zur Turla-Gruppe auf einen modernen APT-Akteur hindeuten, der der Equation Group [2] in punkto Langlebigkeit in nichts nachsteht.

Auf der Suche nach einer Verbindung zwischen einem modernen Bedrohungsakteur und den Moonlight-Maze-Attacken auf das Pentagon und die NASA in den späten 1990ern hat Kaspersky Lab zusammen mit Forschern des Kings College London Malware-Samples, Log-Dateien und Artefakte einer historischen APT (Advanced Persistent Threat) entdeckt. Die Untersuchungsergebnisse zeigen: ein von Moonlight Maze seit 1998 für die Exfiltration von Informationen – also für die Übertragung spionierter Daten aus dem Unternehmensnetzwerk heraus – verwendetes Backdoor-Programm weist Verbindungen zu einem Backdoor auf, das von der Turla-Gruppe [3] im Jahr 2011 und möglichweise sogar noch im Jahr 2017 eingesetzt wurde. Sollte sich der Verdacht der Verbindung zwischen Turla und Moonlight Maze erhärten, würde das diesen Bedrohungsakteur hinsichtlich Langlebigkeit auf eine Stufe mit der Equation Group stellen, deren eingesetzte Command-and-Control-Server ebenfalls zum Teil bis ins Jahr 1996 zurückzuverfolgen sind.



Damalige Berichte über Moonlight Maze zeigen, dass ab 1996 Systemeinbrüche in den USA in Militär- und Regierungsnetzwerken, Universitäten, Forschungsinstituten sowie die Energiebehörde (Department of Energy) entdeckt wurden. Im Jahr 1998 starteten das FBI und das Verteidigungsministerium der Vereinigten Staaten eine intenisve Untersuchung. Die Geschichte wurde im Jahr 1999 öffentlich, aber viele Details blieben im Verborgenen – Moonlight Maze umhüllten Mythos und Geheimhaltung.

Über die Jahre haben Ermittlungsbehörden aus drei verschiedenen Ländern gemutmaßt, dass aus Moonlight Maze Turla hervorging, ein russischsprachiger Bedrohungsakteur, der auch unter den Namen Snake, Uroburos, Venomous Bear und Krypton bekannt ist. Von Turla wird allgemein angenommen, dass es seit 2007 aktiv ist.

„In den späten 1990er Jahren hatte keiner die Reichweite und Ausdauer einer koordinierten Cyberspionagekampagne vorhergesehen“, so Juan Andres Guerrero-Saade, Senior Security Researcher im Forschungs- und Analyse-Team bei Kaspersky Lab. „Wir müssen uns selbst fragen, warum Angreifer noch immer erfolgreich alten Code in modernen Attacken einsetzen können. Die Analyse der Moonlight-Maze-Samples ist nicht nur ein Stück faszinierende IT-Archäologie; sie ist auch eine Mahnung, dass finanziell sehr gut ausgestattete Angreifer nicht einfach verschwinden.“

Moonlight Maze: Analyse der Original-Samples

Anzeige
Im Jahr 2016 machte Thomas Rid vom Kings College London – bei Recherchearbeiten für sein Buch „Rise of the Machines“ – einen ehemaligen Systemadministrator ausfindig, bei dessen damaliger Organisation Server von den Moonlight-Maze-Angreifern als Proxy übernommen wurden. Der Server (HRTest) wurde für die Durchführung von Attacken gegen die USA eingesetzt. Der mittlerweile pensionierte IT-Administrator hat den Original-Server sowie Kopien von allem, was mit der Attacke in Verbindung stand, aufbewahrt.

Die Kaspersky-Forscher Juan Andres Guerrero-Saade und Costin Raiu haben zusammen mit Thomas Rid und Danny Moore vom Kings College eine neun Monate andauernde, detaillierte technische Analyse der Samples vorgenommen. So konnten sie die Operationen, Werkzeuge und Techniken der Angreifer rekonstruieren und zeitgleich eine Untersuchung zu möglichen Verbindungen mit Turla durchführen.

Bei Moonlight Maze handelt es sich um eine auf Open-Source-Unix-basierte Attacke, die das System Solaris im Visier hatte. Die Untersuchungen ergaben, dass dabei ein Backdoor auf Basis von LOKI2 zum Einsatz kam. LOKI2 war ein im Jahr 1996 veröffentlichtes Programm, mit dem Nutzer Daten über verdeckte Kanäle herausfiltern können. Ein zweiter Blick auf einige rare Linux-Samples, die von Turla genutzt und von Kaspersky Lab im Jahr 2014 entdeckt wurden, offenbarte, dass es sich hierbei um Penquin Turla [3] handelt, dessen Samples auch auf LOKI2 basierten. Darüber hinaus zeigte die Neu-Analyse, dass alle Code beinhalteten, der zwischen 1999 und 2004 erstellt wurde.

Alter Code bei Turla-Attacke auf Schweizer Unternehmen verwendet

Auffallend ist, dass dieser Code noch immer bei Attacken genutzt wird, beispielsweise bei einer Attacke im Jahr 2011 auf das Rüstungsunternehmen Ruag in der Schweiz [4], die Turla zugeschrieben werden konnte. Im März 2017 haben die Experten von Kaspersky Lab ein neues Sample des Penquin-Turla-Backdoor gefunden, das von einem System in Deutschland aus hochgeladen wurde. Es ist möglich, dass Turla alten Code für Attacken auf hoch gesicherte Organisationen verwendet, die mit dem Standard-Windows-Toolset von Turla nur schwer zu knacken sind.

Die neu aufgedeckten Moonlight-Maze-Dateien zeigen viele faszinierende Details darüber, wie die Angriffe mittels eines komplexen Proxy-Netzwerks sowie hochentwickelten Fähigkeiten und Werkzeuge ausgeführt wurden.

Weitere Informationen zu der Angriffssequenz und der Typologie finden sich hier im folgenden Video: https://youtu.be/9RorL9y70GU

Details der Untersuchung zu Moonlight-Maze-Turla können unter https://securelist.com/blog/sas/77883/penquins-moonlit-maze abgerufen werden.

Die Lösungen von Kaspersky Lab entdecken und blockieren erfolgreich Malware, die von Moonlight Maze und Penquin Turla verwendet wird.

Details zu den Cupboard-Sample-Logs und -Scripts sowie den Kompromittierungsindikatoren (Indicators of Compromise, IOC) und Hashes finden sich in einem PDF-Dokument, das unter https://securelist.com/blog/sas/77883/penquins-moonlit-maze zu finden ist.

Umfassende Security Intelligence zu den neuesten Bedrohungen und Bedrohungsakteuren ist für Kunden des Kaspersky Lab APT Intelligence Reporting Service unter https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting verfügbar.

[1] https://securelist.com/blog/sas/77883/penquins-moonlit-maze

[2] http://newsroom.kaspersky.eu/de/texte/detail/article/equation-group-die-mutter-der-cyber-spionage/ oder https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

[3] https://securelist.com/blog/research/67962/the-penquin-turla-2/

[4] https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag






Weitere Infos bei AAPC zu diesem Thema
Jagd auf Lazarus-Gruppe verhindert großen Cyberbanküberfall (04.04.2017)
Unter dem Mikroskop: ESET untersucht neue Turla Malware (04.04.2017)
INTERPOL und Trend Micro: Online-Bedrohungen aus Westafrika massiv angestiegen (09.03.2017)
StoneDrill: Kaspersky Lab entdeckt neues hochentwickeltes Zerstörungsprogramm (06.03.2017)
Adobe Flash Player: Trend Micro warnt vor Zero-Day-Sicherheitslücke (28.10.2016)
Infizierung von Smartphones via USB-Ladevorgang vermeiden (28.05.2016)
Kommerzielle Malware-Boutique operiert zu Land, zu Wasser und in der Luft (09.02.2016)
Kostenloses E-Book: Jahresanalysen, Prognosen im Kaspersky Security Bulletin 2015/2016 (07.01.2016)
Berüchtigte Cyberspionagegruppe Sofacy mit neuen hinterhältigen Tools  (04.12.2015)
Cybersecurity-Themen werden allgegenwärtig  (03.12.2015)
Gefahren aus der IT-Welt mit direkten Auswirkungen auf das tägliche Leben (29.11.2015)
Ungutes Gefühl wegen Gerätekamera (12.11.2015)
Cybersicherheitsvorfälle kosten große Unternehmen im Schnitt eine halbe Million US-Dollar (15.09.2015)
Fall iranischer Wissenschaftlerin belegt politischen Kontext gezielter Spionage (14.09.2015)
Cyberspionagekampagne Turla nutzt Satelliten zur Anonymisierung  (09.09.2015)
Darkhotel-Cyberspionage-Gruppe greift wieder sensible Ziele an (10.08.2015)
Wild Neutron – Mysteriöser Cyberspionageakteur kehrt mit neuer Wucht zurück (09.07.2015)
Amerika: Cyberkriminelle nehmen Infrastrukturen und multinationale Firmen ins Visier (27.05.2015)
Cyberspionage-Gruppen bekämpfen sich gegenseitig (15.04.2015)
erste arabische Cyberspionagegruppe  (18.02.2015)
(04.04.2017)
 Zurück 
 Zur Newsübersicht 
 News an einen Freund versenden 
 News ausdrucken 
 Newstipp an AAPC  

Unter dem Mikroskop: ESET untersucht neue Turla Malware (04.04.2017)
Seit geraumer Zeit attackiert die Cyberspionage-Gruppe, die hinter der Turla-Kampagne steckt, immer wieder hochrangige Institutionen in Europa und den USA. Malware Forscher des europäischen Security-Software-Herstellers ESET haben jetzt eine neue Version der Backdoor Carbon entdeckt, die zur Gru.....


Jagd auf Lazarus-Gruppe verhindert großen Cyberbanküberfall (04.04.2017)
Kaspersky Lab stellt die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der Lazarus-Gruppe vor [1]. Die berüchtigte Hackergruppe wird für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Ana.....


Was tun bei falscher Preisauszeichnung im Online-Shop? (01.04.2017)
Es ist bloß ein verrutschtes Komma, doch plötzlich kostet der Fernseher nur noch ein Zehntel. Immer wieder fragen sich Online-Händler, wie sie auf Bestellungen mit falsch ausgezeichneten Preisen reagieren sollen. Rechtsexpertin Madeleine Pilous hat daher die wichtigsten Fakten zusammengefasst un.....


Warnung vor Mini-USB-Sticks: Flunkerei um fantastische Flash-Fakes (01.04.2017)
Sie sind handlich wie ein Schlüsselanhänger, packen angeblich satte zwei Terabyte (TB) Daten und kosten gerade mal zwischen 20 und 50 Euro. Solche Mini-USB-Sticks finden sich zuhauf auf großen Onlinemärkten wie Amazon und eBay oder dem China-Konkurrenten Aliexpress. Tatsächlich gibt es einen der.....




Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.