Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Cisco-USV hilft Online-Ganoven beim Krypto-Mining

Im Rahmen der Recherchen rund um aus dem Internet erreichbare kritische Infrastrukturen (ICS) hat das Team der Internetwache.org mehrere mit Malware versetzte Systeme ausmachen können - darunter auch eine unterbrechungsfreie Stromversorgung aus dem technischen Netzwerk von Cisco und zahlreiche Steuerungen aus dem Bereich der Gebäudeautomatisierung, wie beispielsweise die eines Smart Homes in Deutschland.

Anzeige
  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)

Auf den Systemen fand sich jeweils die Datei "photo.scr", die in diesem Artikel beschriebene Schadsoftware. Vermutlich wurde die Datei dort entweder mittels der gehackten FTP-Zugänge oder aufgrund einer schlechten Trennung von technischen und kaufmännischen Netzen platziert. Ob es auch zur Ausführung der entsprechenden Datei auf den Systemen gekommen ist, konnte bislang nicht geklärt werden.

Angriff per Social Engineering

Mitunter wären damit weitere Bedrohungsszenarien möglich. So könnte sich ein Angreifer mittels Social Engineering als Installateur oder Administrator einer Firma ausgeben und um die Ausführung einer zuvor mittels gehacktem FTP-Zugang platzierten Datei bitten. Kommt die Datei auf einem kritischen System zur Ausführung, kann die CPU-Last bedenklich steigen, was Betriebsprozesse stören oder die Software zum Absturz bringen kann - etwa, indem Speicherplatz unkontrolliert vollgeschrieben wird und nicht mehr dem eigentlichen Programm zur Verfügung steht.

Dass diese Schadsoftware überhaupt auf solche Zielsysteme gelangen kann, ist als sehr gefährlich anzusehen. Einmal in der Welt, kann die Malware sich nahezu unaufhaltsam verbreiten. Solche Ereignisse gab es bereits einige Male: Bis heute etwa finden sich Relikte von früheren Viren dieser Art auf Computersystemen, erinnert sei an Namen wie Sasser oder Conficker.

Umso wichtiger ist es, dass Firmen konsequent auf eine Trennung der kaufmännischen und technischen Netze setzen. Betreiber eines FTP-Servers sollten komplexe Passwörter verwenden.

Threatactor und Einschätzung

Bislang lässt sich wegen der nur begrenzt zur Verfügung stehenden Informationen aus der Malware, der genutzten Command-und-Control-Server, Domains sowie zu dem Mining-Pool nur wenig über Verursacher oder Ersteller der Malware sagen.

Die Domains aus den gefundenen Beispielen stammen überwiegend aus Russland, sind nach wie vor aktiv und werden von kaum einem Virenhersteller bei Aufruf blockiert, weil sie augenscheinlich nur unleserlichen Kryptocode preisgeben. Die Whois-Einträge der Domains sind mit großer Wahrscheinlichkeit gefälscht und bieten daher keine verlässliche Information. Ältere Versionen der Malware werden von Antivirenscannern meist durch eine entsprechende Signatur erkannt, veröffentlichen die Urheber der Malware allerdings eine neue Version, wird diese nicht zuverlässig erkannt.

Auffällig ist, dass Strings aus vielen Sprachräumen verwendet werden: Es finden sich beispielsweise die Worte "администратор" (russisch für Administrator) und "имя-пользователя" (russisch für Username), aber auch "Diosesfiel" (spanisch für "Gott ist gütig"). Die Passwortlisten, die für das Bruteforcing auf FTP-Servern verwendet werden, enthalten auffällig viele russische Vornamen, aber auch das Wort "Porsche".

Offenbar handelt es sich nicht um einen Einzeltäter, sondern um eine Gruppe. Das zeigt die Komplexität des Codes, die gezielte Beschaffung von Domains und die andauernde Neu- und Weiterentwicklung der Malware.

Vor rund einem Monat, etwa zeitgleich mit den Untersuchungen, die durch Internetwache.org eingeleitet wurden, hat sich auch die Firma Fireeye mit einem ähnlich gelagerten Fall beschäftigt. Dabei sollen rund 55 Domains mit der Endung .top für ähnliche Aktionen genutzt worden sein. Dahinter stecken mit großer Wahrscheinlichkeit dieselben Akteure, da sich die C-&-C-Server gleichen und auch die Malware große Ähnlichkeiten aufweist.

Fazit

Bei der gefundenen Schadsoftware handelt es sich um eine fortgeschrittene Malware, mit der sich augenscheinlich ein durchaus ansehnliches Einkommen für Cyberkriminelle erzielen lässt. Durch die wurmartige Verbreitung ist davon auszugehen, dass diese Datei millionenfach im Internet verbreitet ist und sich weiterverbreiten wird. Die Nutzung geschickter Verbreitungswege macht die Methode unauffälliger als beispielsweise die zuletzt florierenden Angriffe durch Ransomware. Betroffene Systeme haben meist eine hohe CPU-Last und üben beispielsweise Bruteforce-Angriffe auf fremde FTP-Hosts aus.

Ein tiefgehender technischer Bericht zu dem Fall mit Details zum Reverse Engineering findet sich ab Mitte der Woche unter internetwache.org.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und verantwortlich offengelegt werden.

 Viele Schutzmaßnahmen gegen Erkennung

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Swyx Solutions AG, Dortmund
  2. Deutsche Telekom AG, Frankfurt am Main, Bonn
  3. MSH Medien System Haus GmbH & Co. KG, Stuttgart
  4. über Hanseatisches Personalkontor Berlin, Berlin


Anzeige
Top-Angebote
  1. 198,00€
  2. 189,00€ + 4,99€ Versand (Vergleichspreis 224€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Die Woche im Video

    B/ow the Wh:st/e!

  2. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  3. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  4. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  5. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  6. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  7. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  8. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  9. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  10. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Sich nicht von der Angst anstecken lassen!

    sundilsan | 09:36

  2. Whatsapp "cracken"

    mrmoralhazard | 09:34

  3. Re: Die xBox ist fünstiger und schöner

    renegade334 | 09:31

  4. USB-Soundkarte kostet 2 Euro

    maze_1980 | 09:29

  5. Re: Vorprogrammierter Ladenhüter

    NMN | 09:29


  1. 09:02

  2. 19:03

  3. 18:45

  4. 18:27

  5. 18:12

  6. 17:57

  7. 17:41

  8. 17:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel