Skip to content

Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Geschrieben von Carsten Eilers am um 11:14

Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unternehmen und Regierungen das Ziel von APT-Angriffen sind, dienen

APTs gegen tibetische Aktivisten

Immer wieder wurden tibetische Aktivisten das Opfer gezielter Angriffe. Kaspersky berichtete Ende Juni über gezielte Angriffe per E-Mails, die an bestimmte Uigurische Mac-Benutzer gerichtet waren. Die E-Mails enthielten ein ZIP-Archiv als Anhang, in dem sich ein JPEG-Bild und eine Mac-Anwendung befinden. Bei der Anwendung handelt es sich um eine neue Version der Backdoor "MaControl". Nach dem Start installiert sich die Backdoor auf dem Rechner und nimmt Verbindung zu einem Command&Control-Server auf.

Das ist nicht der erste Angriff gegen tibetische Aktivisten etc., aber zuvor wurden noch präparierte Word-Dokumente eingesetzt, die eine Schwachstelle in Word zur Installation von "SabPub" bzw. "MaControl" ausnutzten. Der aktuelle Angriff setzt dagegen allein auf Social Engineering.

Exploit-Auswahl

Die Angriffe richten sich evtl. gegen Mac-Benutzer, weil der Dalai Lama als Mac-Benutzer bekannt ist, wie entsprechende Fotos belegen. Die Frage ist nur, ob auf dem Mac auch wirklich Mac OS X läuft. Ich kenne einige Leute, die zwar MacBooks verwenden, darauf aber Windows installiert haben.

Aber selbst wenn ein Opfer auf seinem Macbook Windows installiert hätte, würde das den Angriff nicht verhindern: Die Alienvault Labs berichteten über parallel laufende Angriff auf Windows-Benutzer, dort ist die Backdoor "Gh0st RAT" im ZIP-Archiv enthalten.

Angriffe über kompromittierte Websites

"Gh0st RAT" wurde übrigens im Mai im Rahmen einer Drive-by-Infektion verbreitet: Die Website von Amnesty International United Kingdom war kompromittiert worden. Über die auch vom Mac-Schädling Flashback ausgenutzte Java-Schwachstelle wurden hier Windows-Rechner kompromittiert, um "Gh0st RAT" zu installieren. Der eingeschleuste Schadcode enthielt ein gültiges Zertifikat eines chinesischen Unternehmens. Ein nahezu identischer Angriff erfolgte wenig später über die Website der Democratic Party of Hong Kong.

Signierte Schadsoftware

Mit signierter Schadsoftware allgemein hat sich Craig Schmugar von McAfee beschäftigt. Signierte Schädlinge sind übrigens gar nicht mal so selten, nur kommen meist keine offiziellen Zertifikate zum Einsatz, sondern es werden "test-signierte" bzw. selbstsignierte Dateien eingesetzt. Schadsoftware mit offiziellen Zertifikaten, die von einer vom System als vertrauenswürdig eingestuften CA ausgestellt wurden, sind dagegen deutlich seltener. Beispiele dafür sind außer den im Rahmen von APTs bereits beschriebenen Schädlingen ein Dropper mit zwischen Dezember 2011 und 7. März 2012 ausgestellten Zertifikaten eines Schweizer Unternehmens, ein über präparierte PDF-Dateien verbreiteter Schädling mit einer Signatur des "Malaysian Agricultural Research and Development Institute" und eine Variante des Bots "Qbot" bzw. "Qakbot" mit einem Zertifikat, dass auf "Word & Brown" ausgestellt ist. In allen Fällen dürften die Cyberkriminellen die nötigen privaten Schlüssel der Zertifikatsinhaber ausgespäht haben. Entsprechender Schadcode ist bereits seit längerem im Netz unterwegs.

Geschickt getarnter APT-Exploit

Mitte Juni berichtete Kaspersky über einen anderen per E-Mail durchgeführten Angriff auf tibetische Aktivisten (Deutsche Version). Die E-Mails stammten angeblich von einem tibetischen Aktivisten, dessen E-Mail-Adresse bei einem vorherigen Angriff auf Stratfor erbeutet worden war. Interessanterweise war in der E-Mail der Name angegeben, während bei Stratfor nur die E-Mail-Adresse ausgespäht worden war.

Ausgenutzt wurde dabei eine im April behobene Schwachstelle in Microsoft Office. Das dafür verwendete Word-Dokument weist eine Besonderheit auf: Während die meisten Exploits für diese Schwachstelle auf einen Proof-of-Concept des Metasploit-Frameworks im RTF-Format basieren, handelt es sich um einen zuvor nicht bekannten OLE-Stream in einer .doc-Datei. Damit werden manche Virenscanner ausgetrickst, da die nur auf eingebettete Objekte oder OLE-Streams in Verbindung mit den Befehlen \object und \objocx reagieren. Auch der Rest des Exploit setzt eher unübliche Methoden ein, um eine Erkennung zu erschweren,

Und das sollen APTs sein?

Falls Sie sich jetzt fragen, was das alles mit Advanced Persistent Threats zu tun hat, schließlich sind das zwar alles Bedrohungen, also Threats, aber weder sind sie besonders Advanced noch scheinen sie Persistent zu sein: Diese Angriffe sind nur der erste Schritt eines APTs. Über den damit eingeschleusten Schadcode erlangen die Angreifer die Kontrolle über den ersten Rechner, den sie dann in Ruhe ausspionieren und ggf. später als Sprungbrett ins lokale Netz nutzen. Wird der Schadsoftware schon auf diesem ersten Rechner der Garaus gemacht, kommt es gar nicht erst zum APT. Aber wie Sie ja im fünften, sechsten und siebten Teil der Serie erfahren haben, bleiben diese "Erstinfektionen" oft unentdeckt.

Linktips

Zum Abschluss noch ein paar Hinweise auf weiterführende Texte und Bilder etc.:

  • Mikko Hypponen von F-Secure hat versucht zu erklären, wieso die Antiviren-Hersteller unfähig waren, Stuxnet, Duqu und Flame rechtzeitig zu Erkennen. Diese Erklärung nimmt Bruce Schneier ihm nicht ab: "I don't buy this." Daraufhin hat F-Secure (übrigens nicht besonders überzeugend) geantwortet. Wie üblich bei Texten von Bruce Schneier enthalten auch die Kommentare darunter viele interessante Punkte.
  • Von Trend Micro gibt es einen Blogbeitrag mit dem Titel "Top APT Research of 2011 (That You Probably Haven’t Heard About)", der einen Überblick über Forschungsergebnisse zum Thema APTs bzw. gezielte Angriffe gibt.
  • Ebenfalls von Trend Micro stammt der "Snapshot of Exploit Documents for April 2012", der einen Überblick über die im April 2012 am häufigsten ausgenutzten Schwachstellen und die dafür verwendeten Dateitypen gibt.
  • Die Grafik "APT Myths and Challenges" von Trend Micro gibt einen Überblick über die Schritte eines APT und räumt mit einigen Mythen rund um APTs auf (Deutsche Version). Die Grafik "Global Target" liefert eine Übersicht über einige APTs: Lurid, Luckycat, Nitro, Shadownet, Ghostnet, Shadyrat und Nightdragon.
  • Ein weiterer APT ist "IXESHE" (auf englisch ausgesprochen als "i-sushi"), den Trend Micro in einem Whitepaper beschreibt. Das Besondere an "IXESHE": Als Command&Control-Server werden kompromittierte Rechner innerhalb der angegriffenen Organisationen und Unternehmen verwendet.
  • Über gezielte Angriffe auf syrische Aktivisten berichtet F-Secure.
  • Sophos berichtet, dass der Director General des britischen MI5, Jonathan Evans, vor den "staatlich gesponserten Angriffen" als neuer Form der Cyberkriminalität warnt, und liefert auch gleich etliche Beispiele.

Damit soll das Thema "Advanced Persistent Threats" zumindest vorerst beendet sein. Womit es in der nächsten Folge weiter geht, weiß ich noch nicht. Ich habe mehrere Themen im Blick und werde mich vermutlich erst kurzfristig für eines entscheiden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Was ist ein Advanced Persistent Threat (APT)?
Ein bekannter Advanced Persistent Threat: Operation Aurora
Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
Kann man Advanced Persistent Threats erkennen?
Advanced Persistent Threats - Wo verrät sich der Angreifer?
Advanced Persistent Threats - So verrät sich der Angreifer!
Gezielte Angriffe und Advanced Persistent Threats
Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Schwachstellen in Java

Vorschau anzeigen
Es gibt einige Neuigkeiten zu den 0-Day-Schwachstellen in Java. Die schlechteste zuerst: Das am 30.8. veröffentlichte Update enthält eine neue Schwachstelle Patch reisst neue Lücke auf Am Donnerstag hat Oracle vier oder f&uum

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Neues zu Java-Versionen, Android Packages, einem Rootkit und SSL/TLS

Vorschau anzeigen
Heute gibt es Kommentare und Hinweise zu installierten Java-Versionen, gefährlichen .apk-Dateien, einem übergewichtigen Rootkit und einer Info-Seite zu SSL/TLS. Java oft veraltet Wie aktuell ist eigentlich ihre Java-Version? Ist die a

Dipl.-Inform. Carsten Eilers am : Code Signing - Auch Schadsoftware kann signiert sein

Vorschau anzeigen
Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Apple

Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 1: Ein paar Beispiele

Vorschau anzeigen
Ab dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe ("Watering Hole Attacks") sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen. Eine Dri