Mo, 17. Dezember 2018

Malware enttarnt

11.03.2018 12:38

„Slingshot“: Der Spion, der aus dem Router kam

Der Sicherheitsanbieter Kaspersky warnt vor einer hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt. Dabei attackiert und infiziert die Malware „Slingshot“ ihre Opfer über kompromittierte Router.

Slingshot ist in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige Techniken. So werden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann.

Hochentwickelte Cyberspionage
Die bemerkenswerteste Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Die Experten stellten bei mehreren Opfern fest, dass die Infektion von infizierten Routern ausging. Die hinter Slingshot stehende Gruppe hatte diese anscheinend mit einer schädlichen DLL-Datei kompromittiert, die zum Download anderer schädlicher Komponenten diente. Der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar, so das Unternehmen.

Der Hauptzweck von Slingshot scheint Cyberspionage zu sein. Unter anderem werden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen und weitere Desktop-Aktivitäten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht. Um sich einer Erkennung zu widersetzen und Sicherheitslösungen keine Anhaltspunkte zu liefern, verfügt der Schädling laut Kaspersky über zahlreiche Techniken.

Rätselraten über Hintermänner 
Vermutlich besteht die Bedrohung bereits seit geraumer Zeit, denn die Sicherheitsforscher fanden schädliche Samples, die als „Version 6.x“ gekennzeichnet waren. Die Entwicklungsdauer des komplexen Schädlings dürfte beträchtlich gewesen sein. Das gilt auch für die dafür benötigten Fähigkeiten und Kosten. Zusammengenommen ließen diese Hinweise hinter Slingshot eine „organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten“, so das Unternehmen. Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich.

Geschädigte in Afrika und Asien
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich scheinbar überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.

„Slingshot stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erklärt Alexey Shulmin, Lead Malware Analyst bei Kaspersky Lab. „Die Funktionalität ist äußerst präzise und für die Angreifer zugleich profitabel. Das erklärt, warum sich Slingshot mindestens sechs Jahre lang halten konnte.“

 krone.at
krone.at

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
„Muslime müssen gehen“
Hass-Posting: Facebook sperrt Netanyahu-Sohn
Web
Rapid-Fans angehalten
„Das ist Folter!“ Schwere Vorwürfe gegen Polizei
Fußball National
Die Tore im Video
So schoss Hasenhüttls Southampton die Gunners ab
Fußball International
Nach Bullen-Gala
„Außergewöhnlich, dass die Jungs so brennen“
Fußball National
Hasenhüttl im Video
„Deswegen wechselte ich in die Premier League“
Fußball International
Tödliche Stromschläge
Smartphone kostete zwei Jugendlichen das Leben
Digital
Unfallfrei
Top in Form auf die Piste
Gesund & Fit
Wirbel um Rapid-Fans
Präsident Krammer: „Trottelaktion und hirnlos“
Fußball National
Einsatz in Bangladesch
Helferin als rettender Engel für Flüchtlinge
Niederösterreich
Die Royals
Das unterscheidet Meghan von ihren Verwandten
Video Stars & Society

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.