DarkUniverse: Trojaner aus "Shadow Brokers"-Leak identifiziert

Kaspersky-Forscher haben einen Trojaner analysiert, der im Leak der "Shadow Brokers"-Hackergruppe von 2017 auftauchte. Seine Ziele lagen in Afrika und Asien.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
DarkUniverse: Trojaner aus dem "Shadow Brokers"-Leak identifiziert

(Bild: JARIRIYAWAT/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Simon Koenigsdorff

Sicherheitsforscher von Kaspersky haben einen zuvor unbekannten Trojaner identifiziert, auf den 2017 erstmals Hinweise im Leak der Hackergruppe "Shadow Brokers" gefunden worden waren. Bei dem nun analysierten Trojaner handelt es sich um ein mit zahlreichen Funktionen ausgestattetes Spionage-Framework, das Kaspersky "DarkUniverse" nennt und als "Advanced Persistent Threat" (APT) einstuft – eine Klassifizierung, die häufig mit staatlichen Hackergruppen in Verbindung gebracht wird.

Erste Hinweise auf "DarkUniverse" waren 2017 aufgetaucht, als die Hackergruppe "Shadow Brokers" eine ganze Reihe von Spionagetools und Exploits der amerikanischen NSA im Internet veröffentlichte. Im Leak enthaltene Sicherheitslücken hatten unter anderem den Ausbruch des Verschlüsselungstrojaners WannaCry möglich gemacht. In den Daten enthalten war aber auch ein Skript namens sigs.py, das als eigener Malware-Scanner von der NSA eingesetzt werden konnte, um die Anwesenheit fremder APTs auf Systemen zu überprüfen, die man selbst infiziert hatte. Die Kaspersky-Forscher konnten nun nachvollziehen, was sich hinter der Nummer 27 von 44 in dem Skript genannten APTs verbarg – die Hacker hinter "DarkUniverse" hatten allerdings beim Bekanntwerden des Leaks aufgehört, den Trojaner weiter zu benutzen.

Wie die Forscher von Kaspersky nun in einem Blogeintrag berichten, war der Trojaner offenbar von 2009 bis 2017 im Einsatz. Infektionen erreichte man über Spear-Phishing-Methoden: Durch E-Mails mit infizierten Office-Dokumenten konnte die Malware in Rechner eindringen und weitere Malware nachladen. Der Trojaner konnte dann unter anderem als Keylogger fungieren, E-Mails abfangen, Zugangsdaten entschlüsseln sowie umfassende weitere Informationen aus dem System und dem Netzwerkverkehr des Opfers auslesen.

Die Forscher konnten nach eigenen Angaben etwa 20 Ziele des Trojaners nachvollziehen. Dabei handelte es sich um zivile und militärische Organisationen aus Syrien, dem Iran, Afghanistan, den Vereinigten Arabischen Emiraten sowie Russland, Weißrussland, Äthiopien, Tansania und dem Sudan.

Wer hinter "DarkUniverse" stecken könnte, ist noch unklar. Die Kaspersky-Forscher geben an, im Code des Schädlings gewisse Überlappungen mit dem Trojaner "ItaDuke" gefunden zu haben, der mittels eines Zero-Day-Exploits im Adobe Reader infizierte PDF-Dateien hatte einschleusen können. Man sei sich "relativ sicher", dass zwischen den Trojanern eine Verbindung bestehe. Die Ziele waren damals offenbar Aktivisten der uigurischen und tibetischen Minderheiten in China. (siko)