Fr, 22. Juni 2018

Malware enttarnt

11.03.2018 12:38

„Slingshot“: Der Spion, der aus dem Router kam

Der Sicherheitsanbieter Kaspersky warnt vor einer hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt. Dabei attackiert und infiziert die Malware „Slingshot“ ihre Opfer über kompromittierte Router.

Slingshot ist in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige Techniken. So werden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann.

Hochentwickelte Cyberspionage
Die bemerkenswerteste Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Die Experten stellten bei mehreren Opfern fest, dass die Infektion von infizierten Routern ausging. Die hinter Slingshot stehende Gruppe hatte diese anscheinend mit einer schädlichen DLL-Datei kompromittiert, die zum Download anderer schädlicher Komponenten diente. Der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar, so das Unternehmen.

Der Hauptzweck von Slingshot scheint Cyberspionage zu sein. Unter anderem werden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen und weitere Desktop-Aktivitäten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht. Um sich einer Erkennung zu widersetzen und Sicherheitslösungen keine Anhaltspunkte zu liefern, verfügt der Schädling laut Kaspersky über zahlreiche Techniken.

Rätselraten über Hintermänner 
Vermutlich besteht die Bedrohung bereits seit geraumer Zeit, denn die Sicherheitsforscher fanden schädliche Samples, die als „Version 6.x“ gekennzeichnet waren. Die Entwicklungsdauer des komplexen Schädlings dürfte beträchtlich gewesen sein. Das gilt auch für die dafür benötigten Fähigkeiten und Kosten. Zusammengenommen ließen diese Hinweise hinter Slingshot eine „organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten“, so das Unternehmen. Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich.

Geschädigte in Afrika und Asien
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich scheinbar überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.

„Slingshot stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erklärt Alexey Shulmin, Lead Malware Analyst bei Kaspersky Lab. „Die Funktionalität ist äußerst präzise und für die Angreifer zugleich profitabel. Das erklärt, warum sich Slingshot mindestens sechs Jahre lang halten konnte.“

 krone.at
krone.at

Das könnte Sie auch interessieren

Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.