Eset: Neue Hacking-Kampagne richtet sich gegen Außenministerium eines EU-Mitglieds

Forscher des Sicherheitsanbieters Eset haben eine neue Hacking-Kampagne aufgedeckt, die das Außenministerium eines EU-Mitgliedstaats zu ihren Opfern zählt. Dabei kommt eine neue Crutch genannte Schadsoftware zum Einsatz. Sie stiehlt vertrauliche Dokumente und andere Dateien, indem sie sie auf von den Angreifern kontrollierte Dropbox-Konten hochlädt.

Die Kampagne ist demnach bereits seit 2015 aktiv. Die Forscher bringen sie in Verbindung mit der Turla genannten Hackergruppe, die nach Einschätzung des britischen National Cyber Security Centre Unterstützung von der russischen Regierung erhält.

Crutch wiederum soll für Angriffe auf bestimmte Ziele entwickelt worden sein. Außer der Information, dass es sich um ein Außenministerium eines EU-Mitglieds handelt, hielt Eset bisher alle Details zu möglichen Opfern zurück. Das Ministerium soll allerdings zur allgemeinen Ausrichtung von Turla passen.

Zum Einsatz kommt Crutch der Analyse zufolge erst, nachdem das Netzwerk eines Opfers bereits kompromittiert wurde, beispielsweise über einen Spear-Phishing-Angriff. Crutch richte sich als Backdoor ein und kommuniziere mit einem bereits festgelegten Dropbox-Konto. Den Online-Speicherdienst hätten die Hacker gewählt, um beim Upload von Dateien keinen ungewöhnlichen oder auffälligen Netzwerk-Traffic zu generieren und einer Erkennung zu entgehen.

Eset fand außerdem heraus, dass Crutch im Lauf der Jahre mehrfach aktualisiert wurde. „Die wichtigste böswillige Aktivität ist die Exfiltration von Dokumenten und anderen sensiblen Dateien. Die Raffinesse der Angriffe und die technischen Details der Entdeckung bestätigen die Einschätzung, dass die Turla-Gruppe über beträchtliche Ressourcen verfügt, um ein so großes und vielfältiges Arsenal zu betreiben“, sagte Matthieu Faou, Malware-Forscher bei Eset.

Eine Nachlässigkeit bei den Opfern half den Hackern zudem, ihre Schadsoftware in einem kompromittierten Netzwerk zu verbreiten. „Während der Untersuchung stellten wir fest, dass Angreifer in der Lage waren, sich seitlich zu bewegen und zusätzliche Rechner zu kompromittieren, indem sie Admin-Passwörter wiederverwendeten“, ergänzte Faou. „Ich glaube, dass eine Beschränkung der Bewegungsmöglichkeiten das Leben der Angreifer erheblich erschweren würde. Das bedeutet, dass Benutzer daran gehindert werden, als Admin zu agieren, indem bei Admin-Konten eine Zwei-Faktor-Authentifizierung und einzigartige und komplexe Passwörter verwendet werden.“

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

4 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

23 Stunden ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

23 Stunden ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

1 Tag ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

2 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

2 Tagen ago