Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Cisco-USV hilft Online-Ganoven beim Krypto-Mining

Im Rahmen der Recherchen rund um aus dem Internet erreichbare kritische Infrastrukturen (ICS) hat das Team der Internetwache.org mehrere mit Malware versetzte Systeme ausmachen können - darunter auch eine unterbrechungsfreie Stromversorgung aus dem technischen Netzwerk von Cisco und zahlreiche Steuerungen aus dem Bereich der Gebäudeautomatisierung, wie beispielsweise die eines Smart Homes in Deutschland.

Anzeige
  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)

Auf den Systemen fand sich jeweils die Datei "photo.scr", die in diesem Artikel beschriebene Schadsoftware. Vermutlich wurde die Datei dort entweder mittels der gehackten FTP-Zugänge oder aufgrund einer schlechten Trennung von technischen und kaufmännischen Netzen platziert. Ob es auch zur Ausführung der entsprechenden Datei auf den Systemen gekommen ist, konnte bislang nicht geklärt werden.

Angriff per Social Engineering

Mitunter wären damit weitere Bedrohungsszenarien möglich. So könnte sich ein Angreifer mittels Social Engineering als Installateur oder Administrator einer Firma ausgeben und um die Ausführung einer zuvor mittels gehacktem FTP-Zugang platzierten Datei bitten. Kommt die Datei auf einem kritischen System zur Ausführung, kann die CPU-Last bedenklich steigen, was Betriebsprozesse stören oder die Software zum Absturz bringen kann - etwa, indem Speicherplatz unkontrolliert vollgeschrieben wird und nicht mehr dem eigentlichen Programm zur Verfügung steht.

Dass diese Schadsoftware überhaupt auf solche Zielsysteme gelangen kann, ist als sehr gefährlich anzusehen. Einmal in der Welt, kann die Malware sich nahezu unaufhaltsam verbreiten. Solche Ereignisse gab es bereits einige Male: Bis heute etwa finden sich Relikte von früheren Viren dieser Art auf Computersystemen, erinnert sei an Namen wie Sasser oder Conficker.

Umso wichtiger ist es, dass Firmen konsequent auf eine Trennung der kaufmännischen und technischen Netze setzen. Betreiber eines FTP-Servers sollten komplexe Passwörter verwenden.

Threatactor und Einschätzung

Bislang lässt sich wegen der nur begrenzt zur Verfügung stehenden Informationen aus der Malware, der genutzten Command-und-Control-Server, Domains sowie zu dem Mining-Pool nur wenig über Verursacher oder Ersteller der Malware sagen.

Die Domains aus den gefundenen Beispielen stammen überwiegend aus Russland, sind nach wie vor aktiv und werden von kaum einem Virenhersteller bei Aufruf blockiert, weil sie augenscheinlich nur unleserlichen Kryptocode preisgeben. Die Whois-Einträge der Domains sind mit großer Wahrscheinlichkeit gefälscht und bieten daher keine verlässliche Information. Ältere Versionen der Malware werden von Antivirenscannern meist durch eine entsprechende Signatur erkannt, veröffentlichen die Urheber der Malware allerdings eine neue Version, wird diese nicht zuverlässig erkannt.

Auffällig ist, dass Strings aus vielen Sprachräumen verwendet werden: Es finden sich beispielsweise die Worte "администратор" (russisch für Administrator) und "имя-пользователя" (russisch für Username), aber auch "Diosesfiel" (spanisch für "Gott ist gütig"). Die Passwortlisten, die für das Bruteforcing auf FTP-Servern verwendet werden, enthalten auffällig viele russische Vornamen, aber auch das Wort "Porsche".

Offenbar handelt es sich nicht um einen Einzeltäter, sondern um eine Gruppe. Das zeigt die Komplexität des Codes, die gezielte Beschaffung von Domains und die andauernde Neu- und Weiterentwicklung der Malware.

Vor rund einem Monat, etwa zeitgleich mit den Untersuchungen, die durch Internetwache.org eingeleitet wurden, hat sich auch die Firma Fireeye mit einem ähnlich gelagerten Fall beschäftigt. Dabei sollen rund 55 Domains mit der Endung .top für ähnliche Aktionen genutzt worden sein. Dahinter stecken mit großer Wahrscheinlichkeit dieselben Akteure, da sich die C-&-C-Server gleichen und auch die Malware große Ähnlichkeiten aufweist.

Fazit

Bei der gefundenen Schadsoftware handelt es sich um eine fortgeschrittene Malware, mit der sich augenscheinlich ein durchaus ansehnliches Einkommen für Cyberkriminelle erzielen lässt. Durch die wurmartige Verbreitung ist davon auszugehen, dass diese Datei millionenfach im Internet verbreitet ist und sich weiterverbreiten wird. Die Nutzung geschickter Verbreitungswege macht die Methode unauffälliger als beispielsweise die zuletzt florierenden Angriffe durch Ransomware. Betroffene Systeme haben meist eine hohe CPU-Last und üben beispielsweise Bruteforce-Angriffe auf fremde FTP-Hosts aus.

Ein tiefgehender technischer Bericht zu dem Fall mit Details zum Reverse Engineering findet sich ab Mitte der Woche unter internetwache.org.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und verantwortlich offengelegt werden.

 Viele Schutzmaßnahmen gegen Erkennung

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. über Nash Direct GmbH, Ulm
  3. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
  4. Robert Bosch GmbH, Abstatt


Anzeige
Top-Angebote
  1. 339€ + zusätzlich 100€ Bonus von Samsung
  2. 399,99€

Folgen Sie uns
       


  1. Filmfriend

    Kostenloses Videostreaming für Bibliothekskunden

  2. EMotion

    Fisker-Elektroauto soll in 9 Minuten Strom für 200 km laden

  3. Electronic Arts

    Hunde, Katzen und Weltraumschlachten

  4. Microsoft

    Age of Empires 4 angekündigt

  5. Google

    Android 8.0 heißt Oreo

  6. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  7. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  8. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  9. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  10. ANS-Coding

    Google will Patent auf freies Kodierverfahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: dass der Akku in 9 Minuten wieder für 200 km...

    ckerazor | 09:13

  2. Re: die liste geht nur bis S

    snboris | 09:11

  3. Re: Und hier ist das nervige Problem

    pythoneer | 09:06

  4. Re: hoffentlich auch wieder einen LAN Modus

    NaruHina | 09:06

  5. Re: Das Veröffentlichungsdatum von Age of Empires...

    cb (Golem.de) | 09:03


  1. 09:02

  2. 07:49

  3. 07:23

  4. 07:06

  5. 20:53

  6. 18:40

  7. 18:25

  8. 17:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel