Cyber-Spionage und Erpressung

Webshops für Trojaner

24.02.2016 von Armin Weiler

Um Cyber-Attacken gegen Privatpersonen oder Unternehmen zu starten, braucht es keine tiefgreifenden Malware-Kenntnisse. Die Schadprogramme gibt es laut den Security-Experten von Kaspersky im Webshop.

Ende 2015 wurde eine Singapurer Bank durch eine Spear-Phishing-E-Mail attackiert. Ein Angestellter erhielt eine Mail, der eine schädliche JAR-Datei beigefügt war. Experten vom Anti-Viren-Spezialisten Kaspersky untersuchten den Fall und förderten eine erstaunliche Malware-Plattform namens Adwin zu Tage.

Laut Sicherheitsexperten von Kaspersky braucht es heutzutage nur noch ein ''Minimum an Fachwissen'', um Cyber-Attacken zu starten. Die Schadprogramme können passgenau in Webshops gekauft werden.
Foto: asrawolf - Fotolia.com

Eine spezielle Untersuchung ergab, dass in der Zeit von 2013 bis heute 443.000 Privatnutzer, Unternehmen und Organisationen Ziele der Admin-Malware waren. Sowohl die Plattform als auch die Malware sind laut Kaspersky noch aktiv.

Das Backdoor-Programm ist käuflich erwerbbar und plattformübergreifend. Öffnet ein anvisierter Nutzer die angehängte JAR-Datei, installiert sich die Malware selbstständig und versucht mit einem Command-and-Control-Server (C&C) zu kommunizieren. Das Funktionsspektrum der Malware ist vielfältig. So listet Kaspersky folgende Funktionen auf:

das Mitlesen von Tastaturanschlägen
den Diebstahl von im Cache gespeicherten Passwörtern sowie das Abgreifen von Daten aus Webformularen
das Erstellen von Screenshots
das Schießen von Fotos sowie die Aufnahme von Videos über die Webcam
Audioaufnahmen über das Mikrofon
die Übertragung von Daten
das Sammeln von allgemeinen System- und Nutzerinformationen
das Stehlen von Schlüsseln für Wallets von Kryptowährung
die Verwaltung von SMS-Nachrichten (Android)
den Diebstahl von VPN-Zertifikaten

Adwind wird hauptsächlich für nicht-zielgerichtete Angriffe und innerhalb von Massen-Spam-Kampagnen genutzt. Es gibt jedoch auch zielgerichtete Attacken, bei denen das Programm eingesetzt wurde. Im August 2015 wurde im Zusammenhang mit einem Cyberspionagevorfall gegen einen argentinischen Staatsanwalt, der im Januar 2015 tot aufgefunden wurde, über Adwind berichtet. Der Bankvorfall in Singapur ist ein weiteres Beispiel einer zielgerichteten Attacke.

Malware-as-a-Service

Nach Erkenntnissen der Kaspersky-Experten wird das Schadprogramm offen über einen Bezahldienst verbreitet und betrügerische Kundschaft zahlt für den Einsatz eine Gebühr. Die Spezialisten gehen davon aus, dass bis Ende des Jahres 2015 etwa 1.800 Adwin-Nutzer gab. Es soll sich dabei eine der aktuell größten Malware-Plattformen handeln. "Die aktuellen Adwind-Plattform ermöglicht potenziellen Kriminellen, mit einem Minimum an Fachwissen in die cyberkriminelle Szene einzutauchen", erläutert Alexander Gostev, Chief Security Expert bei Kaspersky Lab. So sei der Angreifer der Singapurer Bank weit davon entfernt, ein professioneller Hacker zu sein. "Wir gehen davon aus, dass die meisten Kunden der Adwind-Plattform etwa über dasselbe Computerwissen verfügen. Das ist ein besorgniserregender Trend", meint Gostev.

Malware-Boutique enttarnt

Zudem ist Kaspersky ist einer international operierenden Cyber-Spionage-Gruppe auf die Spur gekommen. Bei betroffenen Unternehmen gab es Erpressungsversuche durch die Täter der sogenannten "Poseidon-Gruppe".

Bei Poseidon handelt sich um eine kommerziell agierende Verbindung, die über maßgeschneiderte und mit gefälschten Zertifikaten signierte Malware an vertrauliche Daten ihrer Opfer gelangt und diese damit erpresst, eine Geschäftsbeziehung mit den Angreifern einzugehen. Die Malware ist auf Windows-Installationen in den Sprachen Englisch und brasilianisches Portugiesisch zugeschnitten, laut Kaspersky ein Novum in der Geschichte der Cyberattacken.

Zu den Betroffenen gehören vor allem Unternehmen aus der Finanzbranche und staatliche Einrichtungen, aber auch die Branchen Telekommunikation, verarbeitende Industrie, Energie und andere Infrastrukturbereiche, Medien sowie PR-Agenturen.

Charakteristisch für das Vorgehen der Poseidon-Gruppe ist das aktive Ausspähen von Domain-basierten Unternehmensnetzwerken. Wie die Analyse von Kaspersky Lab zeigt, operiert die Poseidon-Gruppe ebenfalls mit Spear-Phishing-E-Mails, die Dateien in den Formaten RTF und DOC enthalten. Durch deren Anklicken wird gefährlicher Binärcode in die Systeme der Opfer geschleust. Nach der Infektion tritt die Schadsoftware mit Command-and-Control-Servern (C&C) in Kontakt und beginnt sich im Netzwerk des Opfers umzusehen.

Mit den gesammelten Daten im Hintergrund tritt dann eine Art Front Office der Poseidon-Gruppe mit den Opferunternehmen in Kontakt und zwingt sie, diese als Sicherheitsberater zu engagieren. Ansonsten, so die Drohung, würden die Daten für eine Reihe von unlauteren Geschäften zu Gunsten der Poseidon-Gruppe verwendet.

Kaspersky Partner Kick-off 2016

Dieses Jahr gastierte das Kaspersky Partner Kick-off im Steinberger Hotel in Dresden

Holger Suhl, General Manager von Kaspersky Lab eröffnet die Partnerkonferenz

Gespannt lauscht das Publikum Daniel Domscheit-Berg, ehemals Wikileaks.

Holger Suhl, General Manager bei der Partnerkonferenz in Dresden.

Andreas Rohr von Nerosoft im Gespräch.

Verena Wriedt hat die Konferenz charmant moderiert.

Beatrice von der Brueggen, Marketing-Chefin und Rene Bodmer, Enterpise-Chef, beide Kaspersky Lab, nutzen die Pause zum Meinunsgaustausch.

Kaspersky-Partner im Dialog: Tome Spasov, Ectacom mit Dietmar Gotzmann.

Gunther Dietrich, Apia Systemhaus, Dietmar Hellmich, Hellmich-IT und Tome Spasov, Ectacom.

Rene Bodmer und Uwe Rehwald erklären während einer Podiumsdiskussion die Strategien von Kaspersky Lab.

Workshop am Roundtable.

Die Abendveranstaltung fand im wunderschönen Kurlander Palais statt.

Ein kleiner Einblick in die atmosphärische Abendveranstaltung.

Das leckere Buffet lies keine Wünsche offen.

Lecker.

Mit vollem Magen konferiert es sich gut.

Die Band begleitet die Veranstaltung mit guter Musik.

Holger Suhl, General Manager von Kaspersky Lab begrüßt die Partner auf der Abendveranstaltung.

Esther Huegenuin von INfomanage mit Matthias Nefzger und Holger Suhl von Kaspersky Lab bei der Preisverleihung.

Ectacom GmbH gewinnt den Preis für den Innovationspartner DACH 2015.

Thomas Henk von WickHill bei der Preisverleihung von Kaspersky Lab.

Wieder Ectacom – Matthias Nefzger, Olaf Gürtler, Mario Janecek und Holger Suhl bei der Preisverleihung.

Cyprotect AG gewann die Auszeichnung Business Partner Deutschland 2015.

Wolfgang Grois von Kaspersky Lab Austria, Sabrina Vogl von der ACP Holding GmbH Österreich mit Holger Suhl.

Hier sind alle Sieger. Herzlichen Glückwunsch!

Auf ein erfolgreiches Jahr!

Der Magier Mark verzaubert nicht nur Kevin Dombrowski von future x.

Larissa Salomon von der ikomm und Sabrina Vogl von der ACP Holding GmbH auf der Abendveranstaltung.

Die Party kann beginnen.

In bester Laune: Peter Neumeier, Kaspersky Lab, Jürgen Vetter, Bizteam, Sven Seifert, Kaspersky Lab und Martin Lutz, Telekom.

Daumen hoch für eine erfolgreiche Partnerkonferenz mit Kaspersky Lab.

Eine Stadtrundfahrt durch Dresden rundet das Kaspersky Partner Kick-off ab..