Eset: Hackergruppe bleibt neun Jahre unentdeckt

Eset hat die Aktivitäten einer Hackergruppe analysiert, die neun Jahre lang unentdeckt agierte. Die Forscher des slowakischen Sicherheitsanbieters gehen davon aus, dass die XDSpy genannte Gruppe in dieser Zeit staatliche Unterstützung erhielt. Erstmals stießen sie Anfang des Jahres auf Spuren der Hacker.

Mit ihren Angriffen konzentrierte sich die Gruppe laut Esets Analyse auf Osteuropa sowie den Balkan. Opfer identifizierten die Forscher unter anderem in Belarus, Moldawien, Russland, Serbien und der Ukraine. Sie schließen nicht aus, dass weitere Operation von XDSpy bisher nicht enttarnt werden konnten.

Inzwischen stellte die Gruppe offenbar ihre Aktivitäten ein. Auslöser war eine Sicherheitswarnung des CERT Belarus, die auch den Eset-Forschern als Ausgangspunkt für ihre Untersuchungen diente.

Demnach setzten die Hacker ein Malware-Toolkit namens XDDown ein. Die Forscher beschreiben es als nicht besonders fortschrittlich. Seine Hauptaufgabe war es, Opfer zu infizieren und weitere Malware-Module für spezielle Funktionen herunterzuladen – was eine Erkennung durch Sicherheitsanwendungen erschwerte.

Die Module sammelten unter anderem technische Details über den infizierten Host und dessen Betriebssystem oder suchten nach Dateien mit speziellen Dateiendungen wie Office-Dokumenten und Adressbüchern. Den Hackern war es aber auch möglich, mit dem infizierten Host verbundene Geräte zu überwachen oder Dateien für eine weitere Untersuchung auf einen von ihnen kontrollierten Server hochzuladen.

Die Schadsoftware war außerdem in der Lage, Informationen über WLAN-Netzwerk abzurufen. Die Forscher vermuten, dass diese Daten mit Karten von öffentlichen WLAN-Netzen abgeglichen wurden, um Standortinformationen zu erhalten. Ein XDPass genanntes Modul extrahierte darüber hinaus die Passwörter von installierten Browsern.

Seine Opfer fand XDSpy der Analyse zufolge mit Hilfe von Spear-Phishing-E-Mails. Diese Nachrichten führten Nutzer mit Betreffzeilen in Versuchung, die Informationen über verlorene und gefundene Objekte sowie die COVID-19-Pandemie versprachen. Die Malware selbst gelangte dann über schädliche Dateianhänge und Links auf die Rechner der Opfer.

Dass die Hacker staatliche Unterstützung erhielten leiteten die Forscher unter anderem von den Zielen ab: Behörden und Ministerien. Eine Zuordnung nahmen sie jedoch nicht vor. Indizien sollen jedoch auf Verbindungen zu Osteuropa hindeuten.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

71 Opfer seit September: Forscher warnen vor Ransomware Egregor

Die Hintermänner sind bisher in 19 Ländern aktiv. Die Mehrheit der Opfer befindet sich jedoch…

51 Minuten ago

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

16 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

17 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

19 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

20 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

23 Stunden ago