Symantec: Spionage-Tool Turla greift osteuropäische Regierungen an

Symantec weist auf eine laufende Cyberspionage-Kampagne hin, die den raffinierten Trojaner Turla nutzt. Sie scheint auf osteuropäische Regierungen abzuzielen. Bestimmte Code-Elemente lassen vermuten, dass die nicht identifizierten Angreifer in russischer Sprache kommunizieren. So heißt eine Datei „zagruzchik.dll“, Russisch (in englischer Transkritpion) für „Bootloader“. Auch heißt es, der Angriff weise alle Merkmale einer von einem Nationalstaat geförderten Attacke auf.

Turla ist auch unter den Namen Snake, Uroboros und Carbon bekannt. Kaspersky Lab, das sich ebenfalls mit der Malware beschäftigt, benutzt außerdem die Bezeichnung Epic für die Angriffswelle, in deren Rahmen schon 2012 mindestens 84 legitime Websites kompromittiert und als Malware-Umschlagplatz für weitere Angriffe missbraucht wurden. Die meisten Infektionen mit dem Trojaner gab es nach Symantecs Beobachtungen im Januar und Februar 2014.

Durch Spearphishing werden die Opfer auf infizierte Sites gelockt. Dabei scheinen die Mails von einem Militärattaché eines Staats im Nahen Osten zu kommen. Die als „Wasserstellen“ missbrauchten Sites infizieren nicht alle Besucher, sondern nur einen von den Angreifern vorgegebenen IP-Bereich.

Die Opfer werden dort zunächst mit Trojan.Wipbot (auch bekannt als Tavdig, WorldCupSec und TadjMakhal) infiziert, der den befallenen Rechner erst einmal untersucht, bevor entschieden wird, ob er „interessant“ ist. Diese Klassifizierung wurde bei einer Erforschung der Kommandoserver-Infrastruktur von Kaspersky entdeckt.

Kaspersky hat die Turla-Kampagne Epic getauft (Bild: Kaspersky Lab)

Nur wenn das Ziel den definierten Kriterien entspricht, hinterlässt Wipbot den Trojaner Turla. Dieser wiederum richtet einen versteckten Container für Konfigurationsdaten, Werkzeuge und gestohlenes Material ein. Außerdem verleiht er dem Angreifer die Möglichkeit, Dateien zu kopieren und zu löschen, Verbindungen zu Servern aufzunehmen sowie weitere Malware zu laden.

Symantec hat bei einer Code-Analyse auch Hinweise gefunden, dass Turla und Wipbot von den gleichen Autoren stammen. Es vermutet daher eine „gut ausgestattete, technisch kompetente Angreifergruppe“ hinter ihnen. Zusätzlich besteht der Verdacht, dass auch ein Zusammenhang mit der ebenfalls gegen Regierungen gerichteten Malware Miniduke besteht. Die Nachforschungen halten aber noch an.

Angegriffen wurden zunächst auch westeuropäische Regierungseinrichtungen, darunter belgische und deutsche Botschaften, bei genauerem Hinsehen stellte sich aber heraus, dass die infizierten Systeme stets in einer direkten Verbindung mit Osteuropa standen, etwa Armenien, Kasachstan, Polen und Ukraine.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.