APT29: Staatshacker nutzen Tors Domain-Fronting

Die staatliche Hackergruppe APT29 nutzt die von Tor entwickelte Meek-Technologie, um Angriffe auf verschiedene Infrastrukturen zu verschleiern. Domain-Fronting wird sonst meist zur Umgehung von Zensur eingesetzt.

Artikel veröffentlicht am ,
Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

Die Sicherheitsfirma Fireeye zeigt in einem aktuellen Bericht, dass die gemeinhin den russischen Nachrichtendiensten zugeordnete Hackergruppe mit dem Namen APT29 zur Verschleierung ihrer Aktivitäten das sogenannte Domain-Fronting nutzt. Beim Domain-Fronting werden Anfragen an Server so verschleiert, dass sie wie normale Nutzerzugriffe auf beliebte Dienste wie zum Beispiel Google aussehen.

Stellenmarkt
  1. Testingenieur (w/m/d) in der Automobilindustrie
    Vdynamics GmbH, München
  2. IT Service Techniker (m/w/d)/IT Experte (m/w/d) IT-Trainings
    Fresenius Medical Care, Bad Homburg vor der Höhe
Detailsuche

APT29 ist auch unter dem Namen Cozy Bear bekannt, die Gruppe soll Verbindungen zum russischen Geheimdienst FSB haben. Die ebenfalls russische Gruppe APT28 hingegen wird mit dem Militärgeheimdienst GRU in Verbindung gebracht und meist als Fancy Bear oder Sofacy bezeichnet.

Tor hatte die Meek-Technologie vor allem entwickelt, um die Internetzensur in vielen Ländern zu umgehen. Im vergangenen Jahr hatten die Betreiber des Kryptomessengers Signal ebenfalls angefangen, die sogenannten "pluggable transports" zu nutzen, nachdem der Zugriff auf den Dienst in verschiedenen Ländern blockiert wurde.

Wird die Technologie genutzt, so wird die Adresse des Zielsystems in eine HTTP-Nachricht überführt und dann mit TLS verschlüsselt. Diese verschlüsselte Nachricht wird schließlich an einen Server im gleichen Content Delivery Network gesendet, der eine nicht zensierte Webseite hostet - in vielen Fälle ist dies Google. Dieser Server entschlüsselt die Nachricht und leitet sie an die eigentliche Webseite weiter, die dann die Antwort an den Client sendet.

APT29 erstellte eigenen Hidden-Service

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
Weitere IT-Trainings

Nach Angaben von Fireeye hat APT29 einen eigenen Tor-Hidden-Service erstellt, der Traffic eines Torclients auf den Ports 139 (NetBios), 445 (Server Message Blocks, SMB) und 3389 (Terminal Server, TS) weiterleitet. So konnte die Gruppe Rechner infizieren und Befehle verteilen, ohne dass diese in den Logdateien verdächtig waren. Offenbar nutzt APT29 die Technologie bereits seit mindestens zwei Jahren.

Auf dem infizierten Rechner werden von Cozy Bear zahlreiche Skripte installiert, die unter anderem Windows-Funktionen für Nutzer mit bestimmten Bedürfnissen, wie zum Beispiel die Binary der Einrastfunktion (Sticky Keys), durch eigene Software ersetzen, um den Angreifern dauerhaften Zugang und erweiterte Rechte ("privilege escalation") zu ermöglichen. Dabei wird die Binary für Sticky Keys (sethc.exe) durch cmd.exe ersetzt. Mehrmaliges Drücken einer bestimmten Taste ermögliche dann den Zugriff auf die Kommandozeile mit erweiterten Rechten, so die Sicherheitsfirma.

Fireeye verbindet die Berichterstattung über die Technologie mit einem Sales-Pitch. Es sei für Unternehmen sehr wichtig, Zugriff auf TLS-verschlüsselten Traffic zu bekommen, um entsprechende Angriffe entdecken zu können. Tatsächlich birgt der Einsatz von HTTPS-Man-In-Middle-Boxen allerdings zahlreiche Gefahren, auch das US-Cert hat entsprechende Hinweise für die Verwendung der Technologie herausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /