heise PlusAbo
Anzeige

Moonlight Maze und TurlaPenguin: Russische Hacker agieren seit 20 Jahren unbehelligt

Russische Datendiebe haben einen schweizer Rüstungszulieferer mit Malware angegriffen, die sich auf die Moonlight-Maze-Angriffe aufs Pentagon von 1998 zurückverfolgen lässt. Ein moderner Stamm der Malware heißt TurlaPenguin und infiziert nun Linux-Server.

vorlesen Druckansicht 137 Kommentare lesen
Russische Datendiebe greifen RĂĽstungszulieferer mit Uralt-Malware an

Diesen nach wie vor funktionierenden Server funktionierten die Macher von Moonlight Maze 1997 zum Proxy um.

(Bild: Kaspersky Lab)

Lesezeit: 4 Min.
Security
Von
  • Uli Ries
Inhaltsverzeichnis

TurlaPenguin, eine aktuelle Malware für Linux-Server, wird nun mit einer Attacke auf das Pentagon aus dem Jahr 1998 in Verbindung gebracht. Wahrscheinlich stecken staatliche russische Stellen hinter den Infektionen. Bekannt wurde der Angriff auf US-Behörden in den '90ern damals unter dem Namen Moonlight Maze. Forscher des Antiviren-Herstellers Kaspersky Lab und Thomas Rid vom Kings College in London konnten nun nach einer mehrmonatigen Recherche Belege vorlegen, die Moonlight Maze mit der nach wie vor laufenden TurlaPenguin-Infektionen in Verbindung bringen.

Zwischen den Angriffen 1998 wurde ein und die selbe Hacker-Kampagne seit dem unter den Namen Storm Cloud und (in den Snowden-Dokumenten) Makers Mark bezeichnet. Verantwortlich gemacht wurden seinerzeit, unter anderem vom FBI und dem US-Außenministerium, staatliche russische Eindringlinge. Thomas Rid bestätigte auf Nachfrage von heise Security, dass damals eine Handvoll Mitarbeiter von US-Behörden nach Russland reiste und sich im Anschluss fest davon überzeugt zeigten, dass Russland hinter Moonlight Maze steckt. Für die Beteiligung staatlicher Stellen spreche laut Rid unter anderem, dass die Kampagne Wissen über Satellitenkommunikation benötigte, die damals nur Behörden haben konnten.

Auch Kaspersky findet in den Belegen keine Argumente, diesen Schluss zu widerlegen. Im Gegenteil: Gemäß den jetzt analysierten Daten fanden die Aktionen durchgehend zu üblichen Bürozeiten in der Moskauer Zeitzone statt. Außerdem wurde immer der gleiche russische Internet-Provider cityline.ru beziehungsweise die gleiche IP-Adresse verwendet, um beispielsweise Exploits hochzuladen

Backdoor aus der FrĂĽhzeit

Wichtigster Beweis ist das damals – und erstaunlicherweise auch teilweise heute noch – eingesetzte Remote Access Tool (RAT) Loki2. Es wurde über zwanzig Jahre hinweg ständig erweitert und weiterentwickelt und wird in seiner modernen Form bei Forschern heute als PenguinTurla geführt. Die Schadsoftware nutzt raffinierte Techniken, um Angreifern Zugriff auf und Kontrolle über Solaris- beziehungsweise Linux-Server zu gewähren und abgesaugte Daten nach draußen zu schleusen. Die ursprüngliche Version wurde 1997 im legendären Hacker-Magazin Phrack unter dem Name Loki2 vorgestellt. Eine Weiterentwicklung wurde unter anderem erfolgreich im Jahr 2011 verwendet, um den schweizerischen Rüstungslieferanten RUAG auszuforschen. Laut Kaspersky wurde dieses RAT ausschließlich im Zusammenhang mit Penguin Turla beziehungsweise Moonlight Maze verwendet und noch nirgendwo anders bei Einbrüchen als Spur entdeckt.

Juan Andrés Guerrero-Saade von Kaspersky erklärte auf Nachfrage von heise Security, dass es im Lauf der letzten zwanzig Jahren lediglich zu sieben Sichtungen von Schadcode gekommen sei, der mit dieser Backdoor zusammenhängt. Das deutet darauf hin, dass die Angreifer dieses Tool nur sehr gezielt bei ausgewählten Aktionen zum Einsatz bringen. Das letzte Sample fand Kaspersky Ende März auf VirusTotal. Bekannt ist nur, dass es aus Deutschland hochgeladen wurde. Aber nicht von wem und warum.

Die Zeitkapsel im Schrank

Teil der Recherche war das Auswerten eines damals von den Angreifern zum Proxy umfunktionierten Servers aus Großbritannien. Dessen Administrator hat die Infektion erkannt und gemeinsam mit US-Behörden und der Londoner Metropolitan Police in der Folge sämtlichen Datenverkehr mitgeschnitten. Insgesamt fanden sich dabei 45 interessante Dateien. Darunter Log-Cleaner, Keylogger, Sniffer, Skripts zum Schleusen von Daten und so weiter. Den Datenschatz bewahrte der Admin in einem Schrank auf und stellt ihn jetzt Rid und Kaspersky zur Verfügung. Ergebnis der Analysen: Die Moonlight-Maze-Macher hatten insgesamt Zugriff auf rund 1600 Systeme weltweit. Die tatsächliche Zahl der Infektionen war geringer, aber durchs Ausforschen lokaler Netzwerke von einem infizierten Rechner aus konnten sie an deutlich mehr Server gelangen.

Update 5.4.2017, 11:20: Die Beschreibung der technischen HintergrĂĽnde von Moonlight-Maze undTurla wurde an diversen Stellen ĂĽberarbeitet und korrigiert. Dabei wurde unter anderem die Postulierung einer "LĂĽcke in Solaris und Linux" entfernt. (fab)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten