US-Behörden veröffentlichen aktuelle Angriffswerkzeuge zweier APT-Gangs

Inhaltsverzeichnis

Das United States Cyber Command (USCYBERCOM) hat vor ein paar Tagen erst kürzlich entdeckte und somit recht aktuelle Angriffswerkzeuge der APT-Gruppen Turla und Sofacy/APT28 beim Analysedienst VirusTotal (VT) hochgeladen. Die Ergebnisse der automatischen Analysen sind für jedermann einsehbar; registrierte Nutzer mit entsprechenden Befugnissen können überdies auch direkt auf die insgesamt sieben Samples zugreifen.

Zusätzlich hat die Cybersecurity and Infrastructure Security Agency (CISA) in Zusammenarbeit mit dem FBI und dem Department of Defense Cyber National Mission Force (CNMF) detaillierte Malware-Analysen zu den Dateien veröffentlicht. Sicherheitsforscher und IT-Sicherheitsverantwortliche in Unternehmen können die Informationen nebst Indicators of Compromise (IoC) nutzen, um die Funktionsweise der Tools zu verstehen und Abwehrstragien zu entwickeln.

Fünfmal ComRAT, zweimal Zebrocy

Interessant an den Veröffentlichungen ist, dass es sich hier um zentrale Tools aus dem Werkzeugkasten krimineller Elite-Hacker handelt, die über viele Jahre weiterentwickelt wurden. Somit wird deren Offenlegung die Arbeit von Turla und Sofacy, die darauf beruht, unbemerkt im Schatten operieren, wenigstens in nährerer Zukunft deutlich erschweren.

ComRAT v4 ist ein Backdoor-Programm der Turla-Gruppe, das nach Analysen der Sicherheitssoftware-Firma ESET bereits seit 2008 (anfangs als Agent.BTZ) im Einsatz ist und seither unter anderem im Zuge gelungener Cyber-Einbrüche in die Netze der US-Armee und des deutschen Auswärtigen Amts verwendet wurde. Es ermöglicht der Turla-Gang beispielsweise das Abgreifen sensibler Dokumente und die Ausführung zusätzlichen (Schad-)Codes auf kompromittierten Systemen.

Die nun von der CISA veröffentlichte ComRat-Analyse befasst sich mit fünf Einzelkompomenten, die jeweils auch bei VirusTotal verfügbar sind. Die eindeutige, "offizielle" Zuordnung ComRATs zur Turla-Gruppe durch das USCYBERCOM ist laut einem Tweet von ESET übrigens neu.

Bei zwei weiteren vom USCYBERCOM hochgeladenen Dateien handelt es sich um aktuelle Varianten eines anderen Backdoor-Programms, das den dauerhaften Zugang zu infiltrierten Netzen ermöglicht und die Basis für weitere Aktivitäten in diesen Netzen bildet. Es nennt sich Zebrocy und wird, wenn auch nicht in der aktuellen CISA-Analyse, so doch etwa im Zebrocy-Malpedia-Eintrag des Fraunhofer FKIE, typischerweise der APT-Gruppe Sofacy alias APT28, Fancy Bear, Pawn Storm oder Sednit zugerechnet.

Spuren führen nach Russland

Nahezu alle Sicherheitsfachleute sind sich weitgehend einig, dass die Aktivitäten von Turla und Sofacy alle Anzeichen militärischer Geheimdienste tragen und die Spuren dabei sehr deutlich nach Russland deuten. So verweist die CISA auch in der aktuellen ComRAT v4-Analyse auf die "von Russland geförderte" APT-Gruppe Turla als Drahtzieher.

Sofacy wiederum wird selbst von der russischen Sicherheitsfirma Kaspersky als "Russian speaking APT" bezeichnet. Chinesische Security-Experten sprechen immerhin von einer Organisation "mit militärischem Geheimdiensthintergrund" und Zielen "in Nordamerika, Zentralasien und Europa", ohne direkt auf Russland zu verweisen. Die Bunderegierung hat sich im Kontext des Bundestags-Hacks von 2015 wesentlich deutlicher ausgedrückt: "Auch die Bundesregierung geht mit an Sicherheit grenzender Wahrscheinlichkeit davon aus, dass hinter der Kampagne APT 28 der russische Militärgeheimdienst GRU steckt", erklärte der damalige Regierungssprecher Steffen Seibert 2018 im Zuge der Untersuchungen des Vorfalls.

Analyse-Links und weiterführende Informationen

• CISA Malware Analysis Report zu ComRAT v4
• CISA Malware Analysis Report zur Zebrocy Backdoor
• @CYBERCOM_Malware_Alert bei VirusTotal

Die Samples bei VT lassen sich den CISA-Analysen am einfachsten anhand der angegebenen Datei-Hashes zuordnen.

Zum Verstehen und Abwehren von Cyberbedrohungen für Unternehmen ebenfalls interessant:

(ovw)