Abo
  • IT-Karriere:

Cisco-USV hilft Online-Ganoven beim Krypto-Mining

Im Rahmen der Recherchen rund um aus dem Internet erreichbare kritische Infrastrukturen (ICS) hat das Team der Internetwache.org mehrere mit Malware versetzte Systeme ausmachen können - darunter auch eine unterbrechungsfreie Stromversorgung aus dem technischen Netzwerk von Cisco und zahlreiche Steuerungen aus dem Bereich der Gebäudeautomatisierung, wie beispielsweise die eines Smart Homes in Deutschland.

  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Stellenmarkt
  1. HRG Hotels GmbH, Berlin
  2. operational services GmbH & Co. KG, Braunschweig

Auf den Systemen fand sich jeweils die Datei "photo.scr", die in diesem Artikel beschriebene Schadsoftware. Vermutlich wurde die Datei dort entweder mittels der gehackten FTP-Zugänge oder aufgrund einer schlechten Trennung von technischen und kaufmännischen Netzen platziert. Ob es auch zur Ausführung der entsprechenden Datei auf den Systemen gekommen ist, konnte bislang nicht geklärt werden.

Angriff per Social Engineering

Mitunter wären damit weitere Bedrohungsszenarien möglich. So könnte sich ein Angreifer mittels Social Engineering als Installateur oder Administrator einer Firma ausgeben und um die Ausführung einer zuvor mittels gehacktem FTP-Zugang platzierten Datei bitten. Kommt die Datei auf einem kritischen System zur Ausführung, kann die CPU-Last bedenklich steigen, was Betriebsprozesse stören oder die Software zum Absturz bringen kann - etwa, indem Speicherplatz unkontrolliert vollgeschrieben wird und nicht mehr dem eigentlichen Programm zur Verfügung steht.

Dass diese Schadsoftware überhaupt auf solche Zielsysteme gelangen kann, ist als sehr gefährlich anzusehen. Einmal in der Welt, kann die Malware sich nahezu unaufhaltsam verbreiten. Solche Ereignisse gab es bereits einige Male: Bis heute etwa finden sich Relikte von früheren Viren dieser Art auf Computersystemen, erinnert sei an Namen wie Sasser oder Conficker.

Umso wichtiger ist es, dass Firmen konsequent auf eine Trennung der kaufmännischen und technischen Netze setzen. Betreiber eines FTP-Servers sollten komplexe Passwörter verwenden.

Threatactor und Einschätzung

Bislang lässt sich wegen der nur begrenzt zur Verfügung stehenden Informationen aus der Malware, der genutzten Command-und-Control-Server, Domains sowie zu dem Mining-Pool nur wenig über Verursacher oder Ersteller der Malware sagen.

Die Domains aus den gefundenen Beispielen stammen überwiegend aus Russland, sind nach wie vor aktiv und werden von kaum einem Virenhersteller bei Aufruf blockiert, weil sie augenscheinlich nur unleserlichen Kryptocode preisgeben. Die Whois-Einträge der Domains sind mit großer Wahrscheinlichkeit gefälscht und bieten daher keine verlässliche Information. Ältere Versionen der Malware werden von Antivirenscannern meist durch eine entsprechende Signatur erkannt, veröffentlichen die Urheber der Malware allerdings eine neue Version, wird diese nicht zuverlässig erkannt.

Auffällig ist, dass Strings aus vielen Sprachräumen verwendet werden: Es finden sich beispielsweise die Worte "администратор" (russisch für Administrator) und "имя-пользователя" (russisch für Username), aber auch "Diosesfiel" (spanisch für "Gott ist gütig"). Die Passwortlisten, die für das Bruteforcing auf FTP-Servern verwendet werden, enthalten auffällig viele russische Vornamen, aber auch das Wort "Porsche".

Offenbar handelt es sich nicht um einen Einzeltäter, sondern um eine Gruppe. Das zeigt die Komplexität des Codes, die gezielte Beschaffung von Domains und die andauernde Neu- und Weiterentwicklung der Malware.

Vor rund einem Monat, etwa zeitgleich mit den Untersuchungen, die durch Internetwache.org eingeleitet wurden, hat sich auch die Firma Fireeye mit einem ähnlich gelagerten Fall beschäftigt. Dabei sollen rund 55 Domains mit der Endung .top für ähnliche Aktionen genutzt worden sein. Dahinter stecken mit großer Wahrscheinlichkeit dieselben Akteure, da sich die C-&-C-Server gleichen und auch die Malware große Ähnlichkeiten aufweist.

Fazit

Bei der gefundenen Schadsoftware handelt es sich um eine fortgeschrittene Malware, mit der sich augenscheinlich ein durchaus ansehnliches Einkommen für Cyberkriminelle erzielen lässt. Durch die wurmartige Verbreitung ist davon auszugehen, dass diese Datei millionenfach im Internet verbreitet ist und sich weiterverbreiten wird. Die Nutzung geschickter Verbreitungswege macht die Methode unauffälliger als beispielsweise die zuletzt florierenden Angriffe durch Ransomware. Betroffene Systeme haben meist eine hohe CPU-Last und üben beispielsweise Bruteforce-Angriffe auf fremde FTP-Hosts aus.

Ein tiefgehender technischer Bericht zu dem Fall mit Details zum Reverse Engineering findet sich ab Mitte der Woche unter internetwache.org.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und verantwortlich offengelegt werden.

 Viele Schutzmaßnahmen gegen Erkennung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Spiele-Angebote
  1. 4,31€
  2. 3,99€
  3. (-90%) 5,99€
  4. 51,95€

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Acer Predator Thronos ausprobiert (Ifa 2019)

Acer stellt auf der Ifa den doch auffälligen Gaming-Stuhl Predator Thronos aus. Golem.de setzt sich hinein - und möchte am liebsten nicht mehr aussteigen.

Acer Predator Thronos ausprobiert (Ifa 2019) Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
    Apple TV+
    Apples Videostreamingdienst ist nicht konkurrenzfähig

    Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
    Eine Analyse von Ingo Pakalski

    1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
    2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
    3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

    Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
    Garmin Fenix 6 im Test
    Laufzeitmonster mit Sonne im Herzen

    Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
    Ein Test von Peter Steinlechner

    1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
    2. Wearable Garmin Fenix 6 bekommt Solarstrom

      •  /