Abo
  • Services:

Cisco-USV hilft Online-Ganoven beim Krypto-Mining

Im Rahmen der Recherchen rund um aus dem Internet erreichbare kritische Infrastrukturen (ICS) hat das Team der Internetwache.org mehrere mit Malware versetzte Systeme ausmachen können - darunter auch eine unterbrechungsfreie Stromversorgung aus dem technischen Netzwerk von Cisco und zahlreiche Steuerungen aus dem Bereich der Gebäudeautomatisierung, wie beispielsweise die eines Smart Homes in Deutschland.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. über duerenhoff GmbH, Raum Essen

Auf den Systemen fand sich jeweils die Datei "photo.scr", die in diesem Artikel beschriebene Schadsoftware. Vermutlich wurde die Datei dort entweder mittels der gehackten FTP-Zugänge oder aufgrund einer schlechten Trennung von technischen und kaufmännischen Netzen platziert. Ob es auch zur Ausführung der entsprechenden Datei auf den Systemen gekommen ist, konnte bislang nicht geklärt werden.

Angriff per Social Engineering

Mitunter wären damit weitere Bedrohungsszenarien möglich. So könnte sich ein Angreifer mittels Social Engineering als Installateur oder Administrator einer Firma ausgeben und um die Ausführung einer zuvor mittels gehacktem FTP-Zugang platzierten Datei bitten. Kommt die Datei auf einem kritischen System zur Ausführung, kann die CPU-Last bedenklich steigen, was Betriebsprozesse stören oder die Software zum Absturz bringen kann - etwa, indem Speicherplatz unkontrolliert vollgeschrieben wird und nicht mehr dem eigentlichen Programm zur Verfügung steht.

Dass diese Schadsoftware überhaupt auf solche Zielsysteme gelangen kann, ist als sehr gefährlich anzusehen. Einmal in der Welt, kann die Malware sich nahezu unaufhaltsam verbreiten. Solche Ereignisse gab es bereits einige Male: Bis heute etwa finden sich Relikte von früheren Viren dieser Art auf Computersystemen, erinnert sei an Namen wie Sasser oder Conficker.

Umso wichtiger ist es, dass Firmen konsequent auf eine Trennung der kaufmännischen und technischen Netze setzen. Betreiber eines FTP-Servers sollten komplexe Passwörter verwenden.

Threatactor und Einschätzung

Bislang lässt sich wegen der nur begrenzt zur Verfügung stehenden Informationen aus der Malware, der genutzten Command-und-Control-Server, Domains sowie zu dem Mining-Pool nur wenig über Verursacher oder Ersteller der Malware sagen.

Die Domains aus den gefundenen Beispielen stammen überwiegend aus Russland, sind nach wie vor aktiv und werden von kaum einem Virenhersteller bei Aufruf blockiert, weil sie augenscheinlich nur unleserlichen Kryptocode preisgeben. Die Whois-Einträge der Domains sind mit großer Wahrscheinlichkeit gefälscht und bieten daher keine verlässliche Information. Ältere Versionen der Malware werden von Antivirenscannern meist durch eine entsprechende Signatur erkannt, veröffentlichen die Urheber der Malware allerdings eine neue Version, wird diese nicht zuverlässig erkannt.

Auffällig ist, dass Strings aus vielen Sprachräumen verwendet werden: Es finden sich beispielsweise die Worte "администратор" (russisch für Administrator) und "имя-пользователя" (russisch für Username), aber auch "Diosesfiel" (spanisch für "Gott ist gütig"). Die Passwortlisten, die für das Bruteforcing auf FTP-Servern verwendet werden, enthalten auffällig viele russische Vornamen, aber auch das Wort "Porsche".

Offenbar handelt es sich nicht um einen Einzeltäter, sondern um eine Gruppe. Das zeigt die Komplexität des Codes, die gezielte Beschaffung von Domains und die andauernde Neu- und Weiterentwicklung der Malware.

Vor rund einem Monat, etwa zeitgleich mit den Untersuchungen, die durch Internetwache.org eingeleitet wurden, hat sich auch die Firma Fireeye mit einem ähnlich gelagerten Fall beschäftigt. Dabei sollen rund 55 Domains mit der Endung .top für ähnliche Aktionen genutzt worden sein. Dahinter stecken mit großer Wahrscheinlichkeit dieselben Akteure, da sich die C-&-C-Server gleichen und auch die Malware große Ähnlichkeiten aufweist.

Fazit

Bei der gefundenen Schadsoftware handelt es sich um eine fortgeschrittene Malware, mit der sich augenscheinlich ein durchaus ansehnliches Einkommen für Cyberkriminelle erzielen lässt. Durch die wurmartige Verbreitung ist davon auszugehen, dass diese Datei millionenfach im Internet verbreitet ist und sich weiterverbreiten wird. Die Nutzung geschickter Verbreitungswege macht die Methode unauffälliger als beispielsweise die zuletzt florierenden Angriffe durch Ransomware. Betroffene Systeme haben meist eine hohe CPU-Last und üben beispielsweise Bruteforce-Angriffe auf fremde FTP-Hosts aus.

Ein tiefgehender technischer Bericht zu dem Fall mit Details zum Reverse Engineering findet sich ab Mitte der Woche unter internetwache.org.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und verantwortlich offengelegt werden.

 Viele Schutzmaßnahmen gegen Erkennung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Spiele-Angebote
  1. 6,37€
  2. 33,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


FritzOS 7 - Test

FritzOS 7 steckt voller sinnvoller Neuerungen: Im Test gefallen uns der einfach einzurichtende WLAN-Gastzugang und die praktische Mesh-Übersicht. Nachholbedarf gibt es aber noch bei der NAS-Funktion.

FritzOS 7 - Test Video aufrufen
Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

    •  /