Malware APT28 ist angeblich ein rusissches Spionage-Tool

SicherheitVirus
(Bild: Shutterstock/PeJo)

Das als “APT28” bezeichnete Spionagetool wurde jetzt vom Security-Unternehmen FireEye beschrieben. Dieses hatte es bei einem seiner Kunden aus der Rüstungsindustrie entdeckt. Es soll von russischsprachigen Hackern entwickelt und seit sieben Jahren gegen westliche Rüstungsfirmen und Behörden in Osteuropa und im Kaukasus zum Einsatz gekommen sein.

FireEye hat jetzt eine als APT2 bezeichnete Schadsoftware entdeckt, die allerdings bereits seit sieben Jahren für Angriffe auf Regierungen, Rüstungsfirmen und Sicherheitsunternehmen eingesetzt wird. Dan McWhorter, Vizepräsident für Threat Intelligence bei FireEye, geht davon aus, dass die Malware in Russland erstellt und von russischen Behörden unterstützt wurde. Eindeutige Beweise für eine direkte Beteiligung des russischen Staates kann er allerdings nicht liefern.

Laut FireEye ist die Malware APT28 ein rusissches Spionage-Tool

Einem Bericht des Wall Street Journal zufolge, hat FireEye die Malware bei einem seiner Kunden entdeckt. Sie könne sich einer herkömmlichen Erkennung entziehen und auch Computer ohne Internetzugang infizieren. Programmiert worden sei sie auf Computern mit russischen Spracheinstellungen in Moskau.

Der FireEye-Kunde sei eine Firma, die über militärische Geheimnisse verfügt. Sie sei Anfang des Jahres gehackt worden. Die unbekannten Täter hätten sich dabei auch Zugriff auf geheime Daten verschafft. Laut FireEye entsprechen die hinterlassenen digitalen Spuren nicht denen, die chinesische Hacker normalerweise hinterlassen.

Um sich vor Entdeckung zu schützen, könne APT28 gestohlene Daten verschlüsseln und sie so verschicken, dass der Datenverkehr dem üblichen E-Mail-Traffic des Angegriffenen gleiche. Innerhalb des betroffenen Unternehmens habe sich die Malware per USB-Stick verbreitet. So habe sie auch Computer erreicht, die nicht mit dem Internet verbunden waren.

Als Hinweis auf eine Beteiligung russischer Behörden sieht FireEye laut WSJ die Auswahl der Ziele. Es handele sich neben US-Rüstungsfirmen ausschließlich um Netzwerke von Regierungen im Kaukasus und in Osteuropa – also um Ziele, an denen vor allem Russland interessiert sei. FireEye beschreibt in seiner Analyse auch eine speziell gestaltete Phishing-E-Mail, die die Hacker gegen einen Journalisten in Georgien eingesetzt haben sollen.

Laut Mikko Hypponen von F-Secure ist staatlich gesponserte Malware aber eine Ausnahme. Nur wenige Länder seien in die Herstellung von Schadsoftware involviert. Es ist allerdings nicht das erste Mal, dass Russland vorgeworfen wird, Schadprogramme zu benutzen, um ausländische Regierungen oder Unternehmen zu infiltrieren. Im März hatte beispielsweise das deutsche Sicherheitsunternehmen GData vermutet, die Spionagesoftware Uroburos habe russische Wurzeln. Laut Symantec standen hinter dem durch Angriffe auf iranische Atomanlagen bekannt gewordenen Stuxnet und seinen Vorläufern US-Behörden, Kaspersky vermutete beim Stuxnet-Ableger und Nachfolger “The Mask” aufgrund der hohen Komplexität und der Ziele ebenfalls staatliche Einrichtungen als Hintermänner – nannte aber kein Land als mutmaßlichen Urheber.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen