|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Eset: Neue Hacking-Kampagne nimmt EU-Regierung ins Visier

09. Dezember 2020

Forscher des Sicherheitsunternehmens ESET haben eine neue Hacking-Kampagne aufgedeckt. Zu den Opfern zählt unter anderem das Außenministerium eines Mitgliedsstaats der Europäischen Union. Zum Einsatz kommt die Crutch genannte Schadsoftware, die offenbar bereits seit 2015 im Einsatz ist. Die Spur der Täter haben die Entdecker bis nach Russland verfolgt, genauer gesagt zur Hackergruppe Turla.

Die Crutch-Kampagne war offenbar auf sehr spezifische Ziele zugeschnitten und darauf ausgereichtet, vor allem sensible Dokumente zu erbeuten. Welches Außenministerium genau betroffen war, haben die Sicherheitsforscher von ESET nicht veröffentlicht, daher ist nur bekannt, dass es sich um ein Land der Europäischen Union handelt. Bevor Crutch zum Einsatz kam, erfolgte den Analysen zufolge bereits eine Infektion mit einer anderen Malware. Das geschah vermutlich mittels Spearphishing-Angriff, also einer ganz gezielten Phishing-Kampagne. Erst im zweiten Schritt wurde Crutch nachgeladen. Seither kommuniziert die Malware mit einem codierten Konto beim Filehosting-Dienst Dropbox und lädt darüber regelmäßig sensible Daten herunter. Dieses Vorgehen ist überaus geschickt, da die Verbindung mit dem Dropbox-Konto im normalen Datenverkehr untergeht und dadurch unter dem Radar bleibt. Außerdem ergab die Untersuchung, dass der Angriff durch wiederverwendete Administratoren-Passwörter begünstigt wurde.

Weitere Analysen haben außerdem gezeigt, dass Crutch im Laufe der Jahre immer wieder aktualisiert und angepasst wurde, um weiter effektiv laufen zu können und die Tarnung aufrecht zu erhalten. Weiterhin betonen die Sicherheitsforscher, dass die Hintermänner der Kampagne offenbar über beträchtliche Ressourcen verfügen. Das stärkt auch die Einschätzung von ESET, dass hinter Crutch die russische Hackergruppe Turla steckt. Diese zeichnete sich bereits für ähnliche Angriffe verantwortlich. Bei Gazer etwa handelte es sich ebenfalls um einen Backdoor-Angriff, der Konsulate und Botschaften weltweit ins Visier nahm. Darüber hinaus fanden die Sicherheitsforscher heraus, dass die Arbeitszeiten der Macher offenbar genau zur Zeitzone UTC+3 passen, also der Zone, in der Moskau liegt.

Obwohl Turla aktuell nur regierungsnahe Organisationen anzugreifen scheint, sollten sich Unternehmen nicht in Sicherheit wiegen. Denn ist eine Malware erstmal entdeckt, ist es nur eine Frage der Zeit, bis auch andere Hackergruppen eine ähnlich funktionierende Malware einsetzen. Doch davor kann man sich schützen – und das sogar mit relativ einfachen Mitteln, wie die Sicherheitsforscher in ihrer Analyse betonen. Dazu gehören zum Beispiel die Nutzung von unterschiedlichen, komplexen Passwörtern und einer Mehrfaktor-Authentifizierung. Darüber hinaus sollten normale Nutzer nicht mit Admin-Rechten ausgestattet werden, damit sich eine Malware nicht einfach im Hintergrund installieren kann.

Bild (c) S. Hermann & F. Richter / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen