Kaspersky warnt vor mutmaßlicher NSA-Malware DarkPulsar

Sie infiziert vor allem Systeme mit Windows Server 2003 und 2008. DarkPulsar ist eine Backdoor mit zugehöriger Administrationsoberfläche. Die Malware gehört zu den Hacking-Tools, die die Shadow Broker im April 2017 öffentlich gemacht haben.

Kaspersky Lab hat nach eigenen Angaben Computer entdeckt, die mit einer DarkPulsar genannten Malware infiziert wurden. Sie stammt angeblich aus dem Fundus des US-Auslandsgeheimdiensts National Security Agency (NSA). „Wir haben rund 50 Opfer gefunden, gehen aber davon aus, dass die Zahl viel höher ist“, teilte der Sicherheitsanbieter mit.

Kaspersky (Bild: Kaspersky)Die Opfer befinden sich demnach alle in Ägypten, dem Iran und Russland. Auf den befallenen Systemen soll in der Regel Windows Server 2003 oder 2008 laufen. „Die Ziele kommen aus den Bereichen Atomenergie, Telekommunikation, IT, Luftfahrt und Forschung und Entwicklung“, ergänzte das Unternehmen.

Kaspersky konnte DarkPulsar der NSA zuordnen, da der Exploit aus einer Sammlung von Windows-Hackings-Tools stammt, die die Gruppe Shadow Brokers im April 2017 veröffentlicht hatte. In der Sammlung fand sich auch der Eternal Blue genannte Exploit, der maßgeblich für die Verbreitung von WannyCry, NotPetya und Bad Rabbit benutzt wurde – weswegen sich die Sicherheitsbranche vorrangig um ihn kümmerte.

Forscher von Kaspersky beschäftigten sich in den vergangenen Monaten jedoch intensiver mit den anderen Werkzeugen aus dem Shadow-Broker-Leak. Dazu gehörte FuzzBunch, ein Exploit-Framework, das unter anderem von der Equation Group, einer Offensiv-Einheit der NSA, eingesetzt wurde, um Schadsoftware zu verbreiten. DarkPulsar wiederum soll eine Malware sein, die per FuzzBunch implantiert wird.

DarkPulsar ist den Sicherheitsforschern zufolge in erster Linie eine Backdoor, die beliebigen Schadcode ausführen soll. Das soll der Code der Administrationsoberfläche von DarkPulsar nahelegen. Die von den Shadow Brokers veröffentlichten Unterlagen sollen jedoch nur besagte Oberfläche beschreiben. Erst eine genauere Analyse der Kaspersky-Forscher brachte auch die Backdoor-Funktion zu Tage und führte schließlich zur Identifikation der mindestens 50 infizierten Systeme.

Kaspersky entdeckte im Code von DarkPulsar aber auch eine Selbstzerstörungsfunktion. Sie sei wahrscheinlich von der Equation Group eingeführt worden, um nach der Veröffentlichung der Hacking-Tools durch die Shadow Brokers die eigenen Spuren zu verwischen. „Die 50 Opfer sind wahrscheinlich nur diejenigen, die die Angreifer einfach vergessen haben“, spekuliere die Forscher.

Unklar ist laut Kaspersky, wer tatsächlich hinter den Angriffen steckt. Die Forscher schließen nicht aus, dass sie von der Equation Group ausgeführt wurden. Es sei aber auch möglich, dass die Shadow Broker Details zur DarkPulsar-Backdoor bewusst nicht veröffentlicht hätten, um das Tool für eigene Zwecke zu benutzen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Kaspersky, Malware, National Security Agency, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kaspersky warnt vor mutmaßlicher NSA-Malware DarkPulsar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *