Hinter der im Mai entdeckten Schadsoftware soll die russische Elite-Hacker-Gruppe Cozy Bear, auch bekannt als APT29, stecken.Screenshot: Crowdstrike Eine neue Windows-Malware ist von 56 Antivirenprogrammen nicht entdeckt worden. Sicherheitsforscher sehen die Schadsoftware in Zusammenhang mit einer bekannten Hackergruppe.
06.07.2022, 14:4406.07.2022, 17:03
Ein Artikel von
Ein neues, fast unauffindbares Schadprogramm steht offenbar in Zusammenhang mit einer russischen Hackergruppe. Das berichtet das IT-Magazin The Register und beruft sich auf Angaben der US-Sicherheitsforscher von Unit 42.
Die Malware sei ein Beweis dafür, dass die von Russland unterstützte Gruppe «Cozy Bear» (APT29) neue Wege gefunden habe, «ihr Unwesen zu treiben», heisst es.
Was macht die Malware so gefährlich?
Laut The Register sei das Programm von 56 bekannten Antivirenprogrammen nicht erkannt worden. Das Team hinter dem Tool namens Brute Ratel (BRC4), mit dem die Malware erstellt wurde, behauptet sogar, die Antiviren-Software durch sogenanntes «Reverse Engineering» analysiert zu haben. Mit dem Ziel, dass Schadprogramme wie die aktuelle Malware schwieriger als bisher erkannt werden können.
Die Malware tarnt sich gemäss der Sicherheitsforscher vom «Threat Intelligence Team Unit 42» (Palo Alto Networks) als Lebenslauf eines Mannes namens «Roshan Bandara».
Die Datei werde aber nicht im Word-Format geteilt, sondern mit der Endung «iso». Das ist eine Image-Datei, mit der der Computer beim Anklicken ein Laufwerk hinzufügt. Der Nutzer erkenne auf dem erstellten Laufwerk eine Datei mit dem Namen «Roshan-Bandara_CV_Dialog».
Ein Doppelklick auf die Datei öffne dann die Windows-Eingabeaufforderung «CMD.EXE» und führt dort den «OneDrive Updater» aus. Dieser lade daraufhin die Schadsoftware BRC4 aus dem Internet und installiere diese auf dem Rechner des Opfers.
Wer steckt dahinter?
Die Vorgehensweise der Malware erinnere Unit 42 stark an die von Russland unterstützte Hackergruppe «Cozy Bear», schreibt The Register. Diese hatte immer wieder Malware hinter Iso-Dateien versteckt. Ausserdem sei die aktuelle Iso-Datei am selben Tag erstellt worden, an dem eine neue Version von BRC4 veröffentlicht worden sei.
«Cozy Bear» war unter anderem verdächtigt worden, während der Corona-Pandemie unter anderem von Organisationen in der Forschung und Entwicklung von Impfstoffen «wertvolle Daten» zu stehlen. Ausserdem sollen sich die Hacker während der Amtszeit von Barack Obama Zugriff auf die E-Mail-Systeme des US-Aussenministeriums und des Weissen Hauses verschafft.
Quellen
(dsc/t-online)
Mehr zu russischen Elite-Hackern und dem Cyberkrieg
Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.
Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.
Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.
Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.
Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.
Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».
Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Hier trifft eine Monsterwelle die Hafenfähre in Hamburg
Video: watson
Das könnte dich auch noch interessieren:
Männer stellen vermehrt Nacktbilder von Frauen, die sie kennen, ins Internet – zusammen mit ihren Telefonnummern. Obwohl es auch in der Schweiz Betroffene gibt, ermittelt die Polizei nicht proaktiv.
Wenn etwas eskaliert, folgen Taten. Doch was, wenn sich bereits eine Eigendynamik entwickelt hat?