Cozy Bear Hacker haben EU-Ministerien im Visier

30. Januar, 2020
Cozy Bear Hacker haben EU-Ministerien im Visier

Sicherheitsforscher des slowakisches Cybersicherheitsunternehmens ESET haben die Cozy Bear Hacking-Gruppe wiederentdeckt. Sie gehen nun davon aus, dass sie sich ohne viel Aufsehen schon seit über drei Jahren in europäische Regierungsbehörden einhacken. Die Gruppe ist auch weithin bekannt als APT 29 oder Dukes. Ihnen werden Verbindungen nach Russland nachgesagt. Die Dukes waren sehr wahrscheinlich auch an dem Hackerangriff auf das amerikanische Democratic National Committee vor den US-Präsidentschaftswahlen 2016 beteiligt.

Die Dukes bzw. Cozy Bear Hacker sind nicht zu verwechseln mit den Fancy Bear Hackern. Letztere hatten sich ins Rampenlicht gesetzt und E-Mails und Dokumente der US-Demokraten veröffentlicht, um die US-Wahl zu beeinflussen. Die Dukes blieben bei dem damaligen Angriff aber im Hintergrund. Seit dem war es jedoch zunehmend ruhiger geworden um diese Hackergruppe. Kürzlich entdeckten Sicherheitsforscher ihre Aktivitäten in einer schon seit sechs Jahren laufenden, bis dato unentdeckten, Spionagekampagne.

Ihre Ziele waren die Netzwerke von mindestens drei Opfern, über die die Forscher Stillschweigen halten mussten. So viel ist bekannt: die Außenministerien zweier osteuropäischer Länder und eines der Europäischen Union einschließlich dessen Botschaftsnetzwerks in der US-Hauptstadt Washington, DC. Dazu verwendeten die Hacker eine ganz neue Sammlung von Malware Tools. Einige davon hatten ganz neue Tricks auf Lager, um unerkannt zu bleiben. Die ESET-Forscher waren erstaunt festzustellen, dass die Gruppe praktisch ihr gesamtes Angriffswerkzeug überarbeitet hatte.

ESET Forschern war es gelungen, herauszufinden, dass mindestens drei neue Duke Spionage-Tools in Zielnetzwerken eingerichtet wurden. Sie nannten die Angriffsreihe Ghost Hunt. Dabei wurde auch eine bereits bekannte Hintertür, genannt MiniDuke ausgenutzt, die den Forschern letztendlich half, die Spionagekampagne mit den Dukes zu verbinden. Die Dukes waren seinerzeit unterm Radar verschwunden und hinterließen fortan nicht viele verwertbare Spuren. Nur durch die Analyse von Malware-Schnipseln, konnten die Forscher in anderthalb Jahren Arbeit, schließlich alles miteinander verbinden.

Die neuen Tools haben clevere Tricks auf Lager und können sich in angegriffenen Netzwerken gut verstecken. Eine Hintertür namens FatDuke, da sie 13 Mb groß ist, macht diese Arbeit. Um die Kommunikation mit einem Befehls- und Steuerungsserver zu verbergen, gibt FatDuke vor, der Browser des Opfers zu sein.

Zu den neuen Tools gehört auch die kleinere Implantat-Malware, die von ESET als PolyglotDuke und RegDuke bezeichnet wird. Damit wird in einer zweiten Stufe Software auf einem Zielsystem installiert. Und auch diese beiden Werkzeuge haben ungewöhnliche Methoden, um ihre Spuren zu verwischen. PolyglotDuke ruft die Domain seines Command-and-Control-Servers von Posts auf Twitter, Reddit, Imgur und anderen sozialen Medien ab. Und diese Posts können die Domain in drei geschriebene Zeichen kodieren. Daher die Namensgebung der Malware – polyglot. Es kann japanische Katakana-Zeichen, Cherokee-Schrift oder die Kangxi-Radikale, usw. erstellen.

Dann gibt es auch noch das RegDuke-Implantat das einen weiteren Verschleierungstrick auf Lager hat. Dabei wird eine dateienlose Hintertür in den Speicher eines Zielcomputers eingesetzt. Sie kommuniziert dann mit einem Dropbox-Konto, das als Steuerelement verwendet wird, und versteckt seine Nachrichten mithilfe einer Steganografietechnik. Letztere Technik kann die Pixel in Bildern so unsichtbar verändern, dass darin geheime Informationen eingebettet werden können. Und damit ist nun auch klar, weshalb die Dukes sich so lange unerkannt im Netz herumtreiben konnten.

Doch ganz so erfolgreich waren sie nicht immer darin unerkannt zu bleiben. Anfang letzten Jahres wurde bekannt, dass der niederländische Geheimdienst AIVD Rechner und Überwachungskameras in einem von Hackern genutzten Universitätsgebäude in Moskau kompromittiert hatte. Damit konnten Niederländer den Hackern in Echtzeit über die Schulter schauen, als diese ihre Angriffe durchführten. Sie konnten sogar alle Personen identifizieren, die den Raum betraten. Damit war dem niederländischen Geheimdienst klar, dass die Dukes Agenten der russischen SVR-Agentur waren. Sie warnten daraufhin die US-Kollegen vor einem Angriff auf das US-Außenministerium.

Die Forschungsergebnisse zeigen, dass eine Hackergruppe durchaus aktiv sein kann, obwohl sie scheinbar verschwunden ist. Ghost Hunt Angriffe finden weiter statt, ob von den Dukes selbst oder von anderen, die Tools von den Dukes verwenden. Die Hackergruppen Turla und Sednit, die auch zu den APT-Hackern gehören, nutzen sie beispielsweise ebenfalls.

Artikel von welivesecurity.com, 17.10.2019: Operation Ghost: The Dukes aren’t back – they never left
Artikel von wired.com, 17.10.2019: Stealthy Russian Hacker Group Resurfaces With Clever New Tricks
Artikel von zdnet.com, 17.10.2019: Cybersecurity warning: This sophisticated Russian hacking group is back in action again
Artikel von bleepingcomputer.com, 17.10.2019: Cozy Bear Russian Hackers Spotted After Staying Undetected for Years

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen