Spyware blieb in Unternehmen bis zu 18 Monate lang unentdeckt
Die "Quietexit" genannte Backdoor blieb teilweise 18 Monate unentdeckt. Sicherheitsforscher vermuten, dass dahinter eine staatliche Gruppe steckt.
(Bild: solarseven/Shutterstock.com)
Die vom IT-Sicherheitsunternehmens Mandiant aufgedeckte Angreifergruppe "UNC3524" hat Unternehmen extrem lange ausspioniert und deren E-Mails mitgelesen – in einigen Fällen über 18 Monate hinweg. Dabei legten sie recht besondere Vorgehensweisen an den Tag.
Infizierte Exoten
Um nicht aufzufallen, nistete sich UNC3524 bevorzugt auf Geräten ein, die typischerweise weniger überwacht werden, häufig keine Sicherheits-Updates erhalten und für die auch wenig spezielle Sicherheits-Software existiert. Die Backdoors wurden auf SAN Arrays (Storage Area Network), Load Balancern und Controllern für WLANs installiert, auf denen häufig ältere Versionen von BSD oder CentOS liefen.
Diese Systeme dienten als Ausgangspunkt für die weiteren Angriffe im Firmennetz. Für die Command-and-Controll-Server spezialisierte sich die Angreifergruppe sogar auf aus dem Internet erreichbare Kameras für Konferenzräume, die sie mit ihrer Steuer-Software infizierten. Auf all diesen Systemen sind typischerweise weder Virenschutz, noch Endpoint Detection oder Response Tools vorhanden. Schon die Suche nach den jetzt bekannten Schadprogrammen gestaltet sich schwierig (Mandiant empfiehlt dafür "grep").
Quietexit mit Reverse-SSH
Als zweite Besonderheit setzte UNC3524 eine sehr spezielle Backdoor namens Quietexit ein. Sie nutzt das verschlüsselnde SSH-Protokoll und eine modifizierte Version der Open-Source-Software Dropbear. Interessant dabei ist, dass der Aufbau der (TCP-)Verbindung vom infizierten Gerät im Firmennetz zum externen Command-and-Control-Server (C2) erfolgt. Die Richtung der SSH-Verbindung ist anschließend jedoch umgekehrt – also vom C2-Server auf das infizierte System.
(Bild: Mandiant)
Als Fallback beobachtete Mandiant noch einen zweiten Zugriffsweg über die Webshell Regeorg, die einen SOCKS-Proxy einrichtete. Die Angreifer achteten penibel darauf, die Webshell-Dateien auf den Webservern so zu benennen, dass sie zum System passten. Selbst die Zeitstempel der Dateien passten die Angreifer so an, dass sie mit anderen Dateien im selben Verzeichnis übereinstimmen. Über diese Webshell konnte Quietexit – nachdem es entfernt wurde – erneut installiert werden.
Spezielle Tricks
Darüber hinaus setzten die Angreifer eine Reihe weiterer Tricks ein, um nicht aufzufallen. So verwendeten sie Zeichenfolgen für Domainnamen, die für den Gerätehersteller plausibel erschienen, um bei einem beiläufigen Lesen von Log-Dateien nicht aufzufallen.
Außerdem nutzten sie vor allem bereits im System vorhandene Tools für ihre Zwecke – diese Vorgehensweise ist als Living off the Land (LotL) bekannt. Im Netzwerk angekommen, versuchten die Angreifer zudem, keine auffällig großen Datenflüsse zu verursachen und beschränkten ihr Datenvolumen. So gelang es den Angreifern, ihre Aktivitäten im Netz der Opfer oft monatelang zu verbergen.
Täter attackierten Postfächer
Ausgehend von den Quietexit-Basisstationen attackierten sie weitere Systeme im Netz (Lateral Movement). Dabei hatten sie es besonders auf Zugangsdaten zu Exchange-Postfächern abgesehen – sowohl on-premises als auch in der Cloud. Denn letztlich ging es UNC3524 darum, ganz gezielt E-Mails einzusammeln. Dazu stützte sich die Malware auf integrierte Windows-Protokolle, die den Tätern das Mitlesen der E-Mails lange Zeit unbehelligt ermöglichten.
So konnten die Täter in allen befallenen Unternehmen unbemerkt einen Teil der Postfächer angreifen und konzentrierten sich dabei auf Führungskräfte und Mitarbeiter, die bei der Unternehmensentwicklung, bei Fusionen und Übernahmen oder in der IT-Sicherheit tätig waren. Wahrscheinlich wurde mit Angriffen auf das IT-Sicherheitsteam getestet, ob die installierte Malware unentdeckt blieb.
Wie die Täter in die jeweiligen Netze anfänglich eindrangen, ist unbekannt. Auch zur Herkunft hat Mandiant lediglich vage Vermutungen und möchte sich nicht festlegen: "Das hohe Maß an Betriebssicherheit, der geringe Malware-Fußabdruck, die geschickten Ausweichfähigkeiten und ein großes Botnet für Internet-of-Things-Geräte heben diese Gruppe hervor" erklären die Forscher in ihrem Blogbeitrag.
Aufgrund der Kompetenz stuft Mandiant UNC3524 als Advanced Persistent Threat (APT) ein. Die verwendete Technik könnten sich normale Gruppen wohl nicht leisten; daher seien solche Angriffe lediglich mithilfe staatlicher Förderung möglich. Die überdurchschnittlich lange Verweildauer in dem Unternehmen deutet den Sicherheitsexperten zufolge darauf hin, dass die Gruppe gezielt beauftragt wurde. Ähnliche Techniken hätten zwar auch die russischen Spionagegruppen APT28 und APT29 angewendet; für eine Zuordnung zu diesen Gruppen reichen die Indizien jedoch nicht aus.
(mack)
