• IT-Karriere:
  • Services:

APT29: Staatshacker nutzen Tors Domain-Fronting

Die staatliche Hackergruppe APT29 nutzt die von Tor entwickelte Meek-Technologie, um Angriffe auf verschiedene Infrastrukturen zu verschleiern. Domain-Fronting wird sonst meist zur Umgehung von Zensur eingesetzt.

Artikel veröffentlicht am ,
Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

Die Sicherheitsfirma Fireeye zeigt in einem aktuellen Bericht, dass die gemeinhin den russischen Nachrichtendiensten zugeordnete Hackergruppe mit dem Namen APT29 zur Verschleierung ihrer Aktivitäten das sogenannte Domain-Fronting nutzt. Beim Domain-Fronting werden Anfragen an Server so verschleiert, dass sie wie normale Nutzerzugriffe auf beliebte Dienste wie zum Beispiel Google aussehen.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. über duerenhoff GmbH, Raum Frankfurt

APT29 ist auch unter dem Namen Cozy Bear bekannt, die Gruppe soll Verbindungen zum russischen Geheimdienst FSB haben. Die ebenfalls russische Gruppe APT28 hingegen wird mit dem Militärgeheimdienst GRU in Verbindung gebracht und meist als Fancy Bear oder Sofacy bezeichnet.

Tor hatte die Meek-Technologie vor allem entwickelt, um die Internetzensur in vielen Ländern zu umgehen. Im vergangenen Jahr hatten die Betreiber des Kryptomessengers Signal ebenfalls angefangen, die sogenannten "pluggable transports" zu nutzen, nachdem der Zugriff auf den Dienst in verschiedenen Ländern blockiert wurde.

Wird die Technologie genutzt, so wird die Adresse des Zielsystems in eine HTTP-Nachricht überführt und dann mit TLS verschlüsselt. Diese verschlüsselte Nachricht wird schließlich an einen Server im gleichen Content Delivery Network gesendet, der eine nicht zensierte Webseite hostet - in vielen Fälle ist dies Google. Dieser Server entschlüsselt die Nachricht und leitet sie an die eigentliche Webseite weiter, die dann die Antwort an den Client sendet.

APT29 erstellte eigenen Hidden-Service

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Nach Angaben von Fireeye hat APT29 einen eigenen Tor-Hidden-Service erstellt, der Traffic eines Torclients auf den Ports 139 (NetBios), 445 (Server Message Blocks, SMB) und 3389 (Terminal Server, TS) weiterleitet. So konnte die Gruppe Rechner infizieren und Befehle verteilen, ohne dass diese in den Logdateien verdächtig waren. Offenbar nutzt APT29 die Technologie bereits seit mindestens zwei Jahren.

Auf dem infizierten Rechner werden von Cozy Bear zahlreiche Skripte installiert, die unter anderem Windows-Funktionen für Nutzer mit bestimmten Bedürfnissen, wie zum Beispiel die Binary der Einrastfunktion (Sticky Keys), durch eigene Software ersetzen, um den Angreifern dauerhaften Zugang und erweiterte Rechte ("privilege escalation") zu ermöglichen. Dabei wird die Binary für Sticky Keys (sethc.exe) durch cmd.exe ersetzt. Mehrmaliges Drücken einer bestimmten Taste ermögliche dann den Zugriff auf die Kommandozeile mit erweiterten Rechten, so die Sicherheitsfirma.

Fireeye verbindet die Berichterstattung über die Technologie mit einem Sales-Pitch. Es sei für Unternehmen sehr wichtig, Zugriff auf TLS-verschlüsselten Traffic zu bekommen, um entsprechende Angriffe entdecken zu können. Tatsächlich birgt der Einsatz von HTTPS-Man-In-Middle-Boxen allerdings zahlreiche Gefahren, auch das US-Cert hat entsprechende Hinweise für die Verwendung der Technologie herausgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)

DerSkeptiker 29. Mär 2017

Die Methode mit sethc.exe nutzte ich schon vor 10 Jahren als Scriptkiddie. ROFL! Das sind...


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /