Die Zuordnung – oder in der Fachsprache: Attribution – zielgerichteter, hochkomplexer Angriffe ist eine heikle Angelegenheit. In 90 Prozent der Fälle ist zwar möglich, einiges über die Angreifer zu erfahren. Bei den restlichen zehn Prozent kann es zu peinlichen Zuordnungsfehlern oder Schlimmerem kommen. Hoch professionelle Akteure wie etwa APT-Gruppen (Advanced Persistent Threath; komplexer und zielgerichteter Cyberangriff) setzen alles daran, in der Infrastruktur des Opfers unentdeckt zu bleiben und so wenig Spuren wie möglich zu hinterlassen.
Sie nutzen eine Vielzahl von Techniken, um die Untersuchung ihrer Kampagnen zu erschweren. LOLBINS (Living Off the Land Binaries and Scripts; regulär vorinstallierte Systemwerkzeuge und Anwendungen, die für schädliche Funktionen missbraucht werden), gängige legitime Penetrationtesting-Tools und dateiloser Malware, die Irreführung von Sicherheitsforschern durch das Platzieren von False Flags (falsche Hinweise, die zu anderen Akteuren führen) – diese und andere anti-forensische Tricks machen die Zuordnung von Bedrohungen oft zu einer Herausforderung. Deshalb gibt es immer einen Prozentsatz zielgerichteter Angriffe, die jahrelang unerkannt bleiben. Vor kurzem habe ich meine Top 10-Liste der ungeklärten APT-Kampagnen/Tools auf Twitter veröffentlicht. In diesem Artikel gehe ich auf vier Fälle etwas näher ein.
1. Project TajMahal
Ende 2018 wurde das ausgeklügelte Spionage-Framework „TajMahal“ entdeckt, das aus zwei verschiedenen Paketen – „Tokyo“ und „Yokohama“ – besteht und eine Vielzahl von Daten stehlen kann. Jedes dieser Pakete enthält eine Reihe schädlicher Tools, wie Backdoors, Keylogger, Downloader, Orchestratoren, Bildschirm- und Webcam-Grabber, Audiorekordern und mehr. Insgesamt wurden bis zu 80 schädliche Module entdeckt.
Project TajMahal war schon mindestens fünf Jahre lang aktiv, bevor unsere Experten bei Kaspersky es erstmals entdeckten. Wer hinter dem Angriff steckt und ob es weitere Opfer gibt – diese Fragen blieben bisher unbeantwortet. Spannend dabei: Das einzige bekannte Opfer ist eine hochkarätige zentralasiatische diplomatische Einheit.
2. Dark Universe
„DarkUniverse“ ist ein weiteres APT-Framework, das Kaspersky-Experten 2018 entdeckten. Es war „in the wild“ mindestens acht Jahre lang aktiv – von 2009 bis 2017 – und zielte auf mindestens 20 zivile und militärische Einrichtungen in Syrien, Iran, Afghanistan, Tansania, Äthiopien, Sudan, Russland, Weißrussland und den Vereinigten Arabischen Emiraten ab. Die Malware verbreitet sich über Spear-Phishing-E-Mails mit einem schädlichen Microsoft-Office-Dokument als Anhang. Es besteht aus mehreren Modulen, die für Spionageaktivitäten verantwortlich sind, wie zum Beispiel Keylogging, Abfangen von E-Mail-Verkehr, Erstellen von Screenshots oder Sammeln von Systeminformationen.
Die komplexe ItaDuke-Malware von DarkUniverse wurde zusammen mit einem Zero-Day-PDF-Exploit mit dem auffälligen Namen „Visaform Turkey.pdf“ veröffentlicht. DarkUniverse konnte nie einem Akteur zugeschrieben werden und es ist unklar, was nach 2017 geschah.
3. PuzzleMaker
Im April 2021 zeigten sich mehrere zielgerichtete Angriffe mit einer komplexen Kette von Zero-Day-Exploits. Um in das System einzudringen, nutzte der „PuzzleMaker“-Akteur (oder die Akteure) eine RCE-Schwachstelle (Remote Code Execution) in Google Chrome. Wir konnten den Exploit nicht erhalten, gehen aber davon aus, dass es sich bei der Schwachstelle um CVE-2021-21224 handelte, mit der beliebiger Code innerhalb der Browser-Sandbox ausgeführt werden konnte.
Sobald sich der Angreifer in der Sandbox befand, nutzte er die Sicherheitslücke CVE-2021-31955 aus, um die Kernel-Adresse der EPROCESS-Struktur zu erlangen, und verschaffte sich mit Hilfe einer weiteren Schwachstelle im Windows-Kernel, CVE-2021-31956, erweiterte Rechte. Danach wurde benutzerdefinierte Malware, die aus vier Modulen besteht, auf das infizierte System übertragen. Bei den Modulen handelt es sich um einen Stager, einen Dropper, einen Service- und eine Remote-Shell, wobei das letzte Modul die endgültige Nutzlast darstellt.
Die einzige schwache Verbindung zu bekannten APT-Kampagnen ist eine Post-Exploitation-Technik, die sowohl von PuzzleMaker, der „CHAINSHOT“-Malware, als auch von mindestens zwei staatlich geförderten Bedrohungsakteuren (FruityArmor und SandCat) verwendet wird. Die Technik ist jedoch öffentlich bekannt und kann daher von verschiedenen Gruppen unabhängig voneinander verwendet werden – oder eine False Flag sein.
4. ProjectSauron (aka Strider)
„ProjectSauron“ wurde erstmals im September 2015 entdeckt, als uns anomaler Netzwerkverkehr in einem Kundenunternehmen ins Auge fiel. Dieser stammte von einer verdächtigen Bibliothek, die in den Speicher eines Domänencontroller-Servers geladen und als Windows-Kennwortfilter registriert wurde, der Zugriff auf Klartextkennwörter für administrative Konten hat. Dies erwies sich als Teil einer komplexen APT-Plattform, die auf Regierungs-, Telekommunikations-, Wissenschafts-, Militär- und Finanzorganisationen in Russland, Iran, Ruanda und möglicherweise auch Italien abzielte.
Die ProjectSauron-Plattform weist eine modulare Struktur auf und ihre Kernimplantate sind für jedes Opfer einzigartig. Deshalb sind die Artefakte, die in einem Unternehmen entdeckt werden, für andere Opfer von geringem Wert. Diese Kernimplantate fungieren als Backdoors, über die zusätzliche Module zur Spionage heruntergeladen werden und Befehle innerhalb des Speichers ausführen.
Der Bedrohungsakteur hinter ProjectSauron verwendet eine Command-and-Control-Infrastruktur, die eine Vielzahl von verschiedenen Internetanbietern und IP-Adressen in den USA und Europa umfasst. Der Akteur bemühte sich, keine erkennbaren Muster in seinen Operationen zu hinterlassen. Das Einzige, was mit Sicherheit gesagt werden kann, ist, dass ein derartiger Grad an Raffinesse ohne einen nationalstaatlichen Sponsor kaum zu erreichen ist.
Fazit
Fortgeschrittene Bedrohungsakteure nutzen alle möglichen Mittel, um unentdeckt zu bleiben und – wenn sie dann doch entdeckt werden – eine Zuordnung zu erschweren. Von Zeit zu Zeit decken Sicherheitsforscher eine mysteriöse Kampagne auf, die jahrelang unentdeckt geblieben ist und bei der es beinahe unmöglich ist, ihre Urheber mit Sicherheit zu ermitteln. Die vier in diesem Beitrag beschriebenen Fälle sind nur eine kleine Auswahl dessen, was wir im Laufe der Jahre erlebt haben. Weitere sechs rätselhafte APT-Fälle können auf Securelist nachgelesen werden. Es ist wichtig, diese zu erörtern und Daten über sie innerhalb der Cybersicherheitsgemeinschaft zu teilen.
Costin Raiu, Director of Global Research & Analysis Team (GReAT) bei Kaspersky
