News

Wild Neutron

Mysteriöser Cyberspionageakteur kehrt zurück

Redaktion RiskNET08.07.2015, 17:51

Im Jahr 2013 attackierte die Hackergruppe "Wild Neutron" – auch als "Jripbot” oder "Morpho” bekannt – einige hochrangige Firmen, darunter Apple, Facebook, Twitter und Microsoft. Anschließend verschwanden die Wild-Neutron-Angreifer für fast ein Jahr von der Bildfläche. Ende des Jahres 2013 beziehungsweise Anfang des Jahres 2014 wurden die Attacken fortgesetzt und liefen bis in das Jahr 2015 weiter. Eine neue Analyse1 von Kaspersky Lab zeigt, dass mittels eines gestohlenen, gültigen Codeverifizierungszertifikats sowie einer unbekannten Lücke im Flash Player weltweit die Systeme von Unternehmen und Privatpersonen infiziert und kritische Unternehmensinformationen gestohlen werden.
Die Cyberspionage-Experten konnte bisher Zielobjekte in elf Ländern identifizieren: neben Deutschland, Österreich und der Schweiz auch in Frankreich, Russland, Palästina, Slowenien, Kasachstan, den Vereinigten Arabische Emiraten, Algerien sowie den USA.

Attackiert wurden Anwaltssozietäten, Unternehmen im Bitcoin-Umfeld, Investmentgesellschaften, einige in M&A-Geschäfte (Mergers & Acquisitions) involvierte Firmen, IT-Unternehmen, Firmen innerhalb der Gesundheits- und Immobilien-Branche sowie Einzelpersonen.

Die Attacke scheint nicht von Nationalstaaten unterstützt zu werden. Es handelt sich wohl eher um einen mächtigen Akteur für Wirtschaftsspionage. Darauf deuten die Nutzung von Zero-Day-Exploits, Multi-Plattform-Malware sowie andere Technologien hin.

"Bei Wild Neutron handelt es sich um eine erfahrene und ziemlich vielseitige Gruppe, die seit 2011 aktiv ist und seitdem mindestens einen Zero-Day-Exploit, maßgeschneiderte Malware sowie Tools für Windows und OS X nutzt", so Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. "Obwohl die Gruppe in der Vergangenheit einige der bekanntesten Unternehmen der Welt angegriffen hat, hat sie es geschafft, sich über zuverlässige Sicherheitsprozesse im Hintergrund zu halten. Dass die Gruppe große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Foren von Dschihadisten (das "Ansar Al-Mujahideen English Forum”) sowie Bitcoin-Unternehmen im Visier hat, weist auf flexible und unübliche Interessen hin."

Das Angriffsszenario

Über welchen Weg die Erstinfektion stattfindet, ist noch unklar. Es gibt allerdings klare Anzeichen dafür, dass die Opfer über ein Kit infiziert werden, das ein unbekanntes Flash-Player-Exploit über kompromittierte Webseiten ausnutzt. Das Exploit liefert ein Malware-Dropper-Paket2 an das Opfersystem aus.

In den von Kaspersky Lab beobachteten Attacken war der Dropper mit einem legitimen Codeverifizierungszertifikat signiert. So kann die Malware die Entdeckung von einigen Schutzlösungen umgehen. Das bei den Wild-Neutron-Angriffen genutzte Zertifikat scheint von einem beliebten Anbieter für Unterhaltungselektronik gestohlen worden zu sein und ist nun annulliert worden.

Ist der Dropper im System, installiert er ein Backdoor-Modul, das sich grundsätzlich nicht von anderen Remote Access Tools (RATs) unterscheidet. Allerdings sticht die Sorgfalt der Angreifer heraus, die Adressen der verwendeten Command-and-Control-Server (C&C) sowie die Wiederherstellungsfähigkeit nach einer C&C-Abschaltung zu verbergen. Die C&C-Server sind ein wichtiger Bestandteil einer gefährlichen Infrastruktur; sie sind die Basis für die auf den Opfermaschinen befindliche Schadsoftware. Spezielle in der Malware eingebaute Funktionen unterstützen die Angreifer dabei, ihre Infrastruktur vor einer möglichen C&C-Abschaltung zu schützen.

Mysteriöse Herkunft

Der Ursprung der Angreifer bleibt ein Rätsel. Bei einigen Samples beinhaltet die verschlüsselte Konfiguration die Zeichenfolge "La revedere” ("Auf Wiedersehen” auf Rumänisch), um das Ende der C&C-Kommunikation zu kennzeichnen. Zudem haben die Experten von Kaspersky Lab eine weitere nichtenglische Zeichenfolge entdeckt, die eine lateinische Übersetzung des russischen Wortes "Успешно" ("uspeshno", deutsch: "erfolgreich") darstellt.

Die Produkte von Kaspersky Lab entdecken und blockieren die Schädlinge von Wild Neutron unter den folgenden Bezeichnungen: "Trojan.Win32.WildNeutron.gen", "Trojan.Win32.WildNeutron.*", "Trojan.Win32.JripBot.*" sowie "Trojan.Win32.Generic".

Detaillierte Analyse

Wild Neutron Hacker Group Victims

1 securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks

2 de.wikipedia.org/wiki/Dropper

 

 

[ Bildquelle: © peshkov - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

BCM Kompass 2018

Herausforderungen im Business Continuity Management

Christof Born | Marc Daferner06.09.2018, 14:03

Der BCM Kompass 2018 stieß auch mit seiner 9. Auflage auf gewohnt breites Interesse bei den BCM Verantwortlichen aus 29 teilnehmenden Instituten. Das Teilnehmerfeld umfasst unter anderem sechs der...

Interview

Garantenpflicht

Haftung eines Risikomanagers

Redaktion RiskNET16.07.2018, 19:30

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von...

Kolumne

Vom weißen Elefanten in digitalen Zeiten

Oh Wunder: Datenlecks und Intransparenz

Frank Romeike | Andreas Eicher [RiskNET]29.03.2018, 17:37

Der "elephant in the room." Diese Metapher aus dem angelsächsischen Sprachraum umschreibt ein Problem, um das (so gut wie) jeder weiß,  aber es wird von keinem angesprochen. Mit einem...

News

Im Interview: Thorsten Kodalle

Vom Wargaming und der Resilienz

Redaktion RiskNET12.02.2018, 08:00

Oberstleutnant i. G. Thorsten Kodalle, Dozent für Sicherheitspolitik an der Führungsakademie der Bundeswehr, stellt die Frage, ob die Welt heute noch kontrollierbar sei? Seiner Meinung nach nein....

News

Im Interview: Herbert Saurugg

Energieversorgung und die Risiken

Redaktion RiskNET10.02.2018, 08:00

Der Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, Herbert Saurugg, erwartet in den kommenden Jahren einen europaweiten Strom- und Infrastrukturausfall. Das Risiko...