Abo
  • Services:

APT29: Staatshacker nutzen Tors Domain-Fronting

Die staatliche Hackergruppe APT29 nutzt die von Tor entwickelte Meek-Technologie, um Angriffe auf verschiedene Infrastrukturen zu verschleiern. Domain-Fronting wird sonst meist zur Umgehung von Zensur eingesetzt.

Artikel veröffentlicht am ,
Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

Die Sicherheitsfirma Fireeye zeigt in einem aktuellen Bericht, dass die gemeinhin den russischen Nachrichtendiensten zugeordnete Hackergruppe mit dem Namen APT29 zur Verschleierung ihrer Aktivitäten das sogenannte Domain-Fronting nutzt. Beim Domain-Fronting werden Anfragen an Server so verschleiert, dass sie wie normale Nutzerzugriffe auf beliebte Dienste wie zum Beispiel Google aussehen.

Stellenmarkt
  1. Bühler Motor Aviation GmbH, Uhldingen-Mühlhofen bei Konstanz
  2. FC Basel 1893 AG, Basel (Schweiz)

APT29 ist auch unter dem Namen Cozy Bear bekannt, die Gruppe soll Verbindungen zum russischen Geheimdienst FSB haben. Die ebenfalls russische Gruppe APT28 hingegen wird mit dem Militärgeheimdienst GRU in Verbindung gebracht und meist als Fancy Bear oder Sofacy bezeichnet.

Tor hatte die Meek-Technologie vor allem entwickelt, um die Internetzensur in vielen Ländern zu umgehen. Im vergangenen Jahr hatten die Betreiber des Kryptomessengers Signal ebenfalls angefangen, die sogenannten "pluggable transports" zu nutzen, nachdem der Zugriff auf den Dienst in verschiedenen Ländern blockiert wurde.

Wird die Technologie genutzt, so wird die Adresse des Zielsystems in eine HTTP-Nachricht überführt und dann mit TLS verschlüsselt. Diese verschlüsselte Nachricht wird schließlich an einen Server im gleichen Content Delivery Network gesendet, der eine nicht zensierte Webseite hostet - in vielen Fälle ist dies Google. Dieser Server entschlüsselt die Nachricht und leitet sie an die eigentliche Webseite weiter, die dann die Antwort an den Client sendet.

APT29 erstellte eigenen Hidden-Service

Nach Angaben von Fireeye hat APT29 einen eigenen Tor-Hidden-Service erstellt, der Traffic eines Torclients auf den Ports 139 (NetBios), 445 (Server Message Blocks, SMB) und 3389 (Terminal Server, TS) weiterleitet. So konnte die Gruppe Rechner infizieren und Befehle verteilen, ohne dass diese in den Logdateien verdächtig waren. Offenbar nutzt APT29 die Technologie bereits seit mindestens zwei Jahren.

Auf dem infizierten Rechner werden von Cozy Bear zahlreiche Skripte installiert, die unter anderem Windows-Funktionen für Nutzer mit bestimmten Bedürfnissen, wie zum Beispiel die Binary der Einrastfunktion (Sticky Keys), durch eigene Software ersetzen, um den Angreifern dauerhaften Zugang und erweiterte Rechte ("privilege escalation") zu ermöglichen. Dabei wird die Binary für Sticky Keys (sethc.exe) durch cmd.exe ersetzt. Mehrmaliges Drücken einer bestimmten Taste ermögliche dann den Zugriff auf die Kommandozeile mit erweiterten Rechten, so die Sicherheitsfirma.

Fireeye verbindet die Berichterstattung über die Technologie mit einem Sales-Pitch. Es sei für Unternehmen sehr wichtig, Zugriff auf TLS-verschlüsselten Traffic zu bekommen, um entsprechende Angriffe entdecken zu können. Tatsächlich birgt der Einsatz von HTTPS-Man-In-Middle-Boxen allerdings zahlreiche Gefahren, auch das US-Cert hat entsprechende Hinweise für die Verwendung der Technologie herausgegeben.



Anzeige
Hardware-Angebote
  1. 59,79€ inkl. Rabatt
  2. 915€ + Versand

DerSkeptiker 29. Mär 2017

Die Methode mit sethc.exe nutzte ich schon vor 10 Jahren als Scriptkiddie. ROFL! Das sind...


Folgen Sie uns
       


ZTE Axon 9 Pro - Hands on (Ifa 2018)

Das Axon 9 Pro ist ZTEs erstes Smartphone nach der Beinahe-Pleite. In einem ersten Hands on hat uns das Gerät gut gefallen - besonders bei dem Preis von 650 Euro.

ZTE Axon 9 Pro - Hands on (Ifa 2018) Video aufrufen
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /