APT-Gruppen: Turla und Co. tarnen Angriffe durch scheinbar harmlose Aktivitäten
Eine Spionage-Malware der wohl staatlich finanzierten Turla-Gang setzt auf Dropbox zum Datenklau. In einem anderen Fall verschleierte Coin-Mining Schlimmeres.
(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)
Forscher der Sicherheitssoftware-Firma ESET haben eine bis dato unbekannte Windows-Malware der wohl russischen APT (Advanced Persistent Threat)-Gruppe Turla entdeckt und analysiert. "Crutch" ist eigentlich eine ganze Toolsammlung, die dazu dient, vertrauliche Dateien von betroffenen Systemen zu kopieren und an die APT-Akteure zu schicken. Interessant ist, auf welchem Wege dies geschieht: Crutch setzt nämlich auf den beliebten Filehosting-Dienst Dropbox, um unter dem Radar vorhandener Sicherheitsvorkehrungen zu fliegen.
Als Advanced Persistent Threats werden besonders komplexe und zielgerichtete Cyber-Angriffe bezeichnet, deren Ziel es ist, auf den betreffenden Systemen – möglichst unentdeckt über einen längeren Zeitraum – sensible Informationen auszuspähen oder, etwa zu Sabotagezwecken, anderweitig Kontrolle zu erlangen. Angriffsziele sind häufig Unternehmen, Kritische Infrastrukturen oder auch Behörden und Regierungseinrichtungen. Im konkreten Fall will ESET den Schadcode im Netzwerk eines Ministeriums für Auswärtige Angelegenheiten in der EU entdeckt haben; genauere Angaben machte das Unternehmen nicht.
Unauffälliger Traffic dank Dropbox
In einem ausführlichem Crutch-Beitrag im ESET-Blog berichten die Forscher von insgesamt vier Versionen der Tool-Sammlung. Die Hauptfunktion sei jeweils das automatisierte Sammeln von Informationen auf infizierten Systemen. Diese übermittle Crutch dann unter Verwendung der offiziellen Dropbox-Programmierschnittstelle an fest hinterlegte Dropbox-Accounts der Turla-Gang. In den Versionen 1 bis 3 erfolgte die Übermittlung der in RAR-Archiven komprimierten Daten noch mittels manuell abgesetzter Befehle. In Version 4 fielen diese Befehle weg, und die Windows-Fassung des "wget"-Utilities übernahm die automatische Übermittlung.
(Bild: ESET)
Der hauptsächliche Grund für die Dropbox-Nutzung sei wohl, dass Crutch durch die Nutzung legitimer Infrastrukturen (und in Kombination mit wget auch legitimer Software) mehrere Security-Layer austricksen könne. Der Dropbox-Traffic füge sich unauffällig in den regulären Netzwerktraffic ein und errege daher relativ wenig Aufmerksamkeit. Dass Crutch diese Strategie bereits seit 2015 anwendet(e) zeigt, dass sie lange Zeit aufging.
Die von ESET analysierte Version 4 wurde offenbar bis mindestens Anfang 2020 aktiv genutzt; ob es eine Folgeversion gibt oder gab, ist ESETS Beschreibung nicht zu entnehmen. Dafür umfasst der Beitrag aber eine ausführliche Liste mit Indicators of Compromise (IoC) die die bisherigen Varianten beschreiben und aufspüren helfen.
Weitere Hinweise auf Russland entdeckt
Sicherheitsfachleute sind sich weitgehend einig, dass Turlas Aktivitäten alle Anzeichen militärischer Geheimdienste tragen und die Spuren dabei sehr deutlich nach Russland deuten. Erst vor rund einem Monat hatte die US-Sicherheitsbehörde CISA eine ausführliche Analyse eines anderen Angriffswerkzeugs der Gruppe, nämlich ComRAT v4, veröffentlicht. Das United States Cyber Command (USCYBERCOM) lud beim Analysedienst VirusTotal zusätzlich auch Samples hoch:
ESETs aktuelle Analysen scheinen die Spuren nach Russland zumindest zu verfestigen: Basierend auf den manuell abgesetzten Upload-Befehlen beobachteten die Forscher die "Arbeitszeiten" der Turla-Gang. Sie kamen zu dem Schluss, dass diese sich mit hoher Wahrscheinlichkeit in der Zeitzone UTC+3 aufhalten, die in einem großen Teil Russlands einschließlich großer Städte wie Moskau oder Sankt Petersburg gilt.