Abo
  • Services:
Anzeige
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt.
Ciscos USV wird von Kriminellen zum Malware-Mining genutzt. (Bild: Screenshot Golem.de)

Cisco-USV hilft Online-Ganoven beim Krypto-Mining

Im Rahmen der Recherchen rund um aus dem Internet erreichbare kritische Infrastrukturen (ICS) hat das Team der Internetwache.org mehrere mit Malware versetzte Systeme ausmachen können - darunter auch eine unterbrechungsfreie Stromversorgung aus dem technischen Netzwerk von Cisco und zahlreiche Steuerungen aus dem Bereich der Gebäudeautomatisierung, wie beispielsweise die eines Smart Homes in Deutschland.

Anzeige
  • Die Malware wird den Nutzern per Social Engineering untergeschoben. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • Die Malware tarnt sich als Bildschirmschoner. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • In der Malware sind Mining-Programme versteckt. (Screenshot: Golem.de)
  • Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)
Auch eine USV von Cisco ist betroffen. (Screenshot: Golem.de)

Auf den Systemen fand sich jeweils die Datei "photo.scr", die in diesem Artikel beschriebene Schadsoftware. Vermutlich wurde die Datei dort entweder mittels der gehackten FTP-Zugänge oder aufgrund einer schlechten Trennung von technischen und kaufmännischen Netzen platziert. Ob es auch zur Ausführung der entsprechenden Datei auf den Systemen gekommen ist, konnte bislang nicht geklärt werden.

Angriff per Social Engineering

Mitunter wären damit weitere Bedrohungsszenarien möglich. So könnte sich ein Angreifer mittels Social Engineering als Installateur oder Administrator einer Firma ausgeben und um die Ausführung einer zuvor mittels gehacktem FTP-Zugang platzierten Datei bitten. Kommt die Datei auf einem kritischen System zur Ausführung, kann die CPU-Last bedenklich steigen, was Betriebsprozesse stören oder die Software zum Absturz bringen kann - etwa, indem Speicherplatz unkontrolliert vollgeschrieben wird und nicht mehr dem eigentlichen Programm zur Verfügung steht.

Dass diese Schadsoftware überhaupt auf solche Zielsysteme gelangen kann, ist als sehr gefährlich anzusehen. Einmal in der Welt, kann die Malware sich nahezu unaufhaltsam verbreiten. Solche Ereignisse gab es bereits einige Male: Bis heute etwa finden sich Relikte von früheren Viren dieser Art auf Computersystemen, erinnert sei an Namen wie Sasser oder Conficker.

Umso wichtiger ist es, dass Firmen konsequent auf eine Trennung der kaufmännischen und technischen Netze setzen. Betreiber eines FTP-Servers sollten komplexe Passwörter verwenden.

Threatactor und Einschätzung

Bislang lässt sich wegen der nur begrenzt zur Verfügung stehenden Informationen aus der Malware, der genutzten Command-und-Control-Server, Domains sowie zu dem Mining-Pool nur wenig über Verursacher oder Ersteller der Malware sagen.

Die Domains aus den gefundenen Beispielen stammen überwiegend aus Russland, sind nach wie vor aktiv und werden von kaum einem Virenhersteller bei Aufruf blockiert, weil sie augenscheinlich nur unleserlichen Kryptocode preisgeben. Die Whois-Einträge der Domains sind mit großer Wahrscheinlichkeit gefälscht und bieten daher keine verlässliche Information. Ältere Versionen der Malware werden von Antivirenscannern meist durch eine entsprechende Signatur erkannt, veröffentlichen die Urheber der Malware allerdings eine neue Version, wird diese nicht zuverlässig erkannt.

Auffällig ist, dass Strings aus vielen Sprachräumen verwendet werden: Es finden sich beispielsweise die Worte "администратор" (russisch für Administrator) und "имя-пользователя" (russisch für Username), aber auch "Diosesfiel" (spanisch für "Gott ist gütig"). Die Passwortlisten, die für das Bruteforcing auf FTP-Servern verwendet werden, enthalten auffällig viele russische Vornamen, aber auch das Wort "Porsche".

Offenbar handelt es sich nicht um einen Einzeltäter, sondern um eine Gruppe. Das zeigt die Komplexität des Codes, die gezielte Beschaffung von Domains und die andauernde Neu- und Weiterentwicklung der Malware.

Vor rund einem Monat, etwa zeitgleich mit den Untersuchungen, die durch Internetwache.org eingeleitet wurden, hat sich auch die Firma Fireeye mit einem ähnlich gelagerten Fall beschäftigt. Dabei sollen rund 55 Domains mit der Endung .top für ähnliche Aktionen genutzt worden sein. Dahinter stecken mit großer Wahrscheinlichkeit dieselben Akteure, da sich die C-&-C-Server gleichen und auch die Malware große Ähnlichkeiten aufweist.

Fazit

Bei der gefundenen Schadsoftware handelt es sich um eine fortgeschrittene Malware, mit der sich augenscheinlich ein durchaus ansehnliches Einkommen für Cyberkriminelle erzielen lässt. Durch die wurmartige Verbreitung ist davon auszugehen, dass diese Datei millionenfach im Internet verbreitet ist und sich weiterverbreiten wird. Die Nutzung geschickter Verbreitungswege macht die Methode unauffälliger als beispielsweise die zuletzt florierenden Angriffe durch Ransomware. Betroffene Systeme haben meist eine hohe CPU-Last und üben beispielsweise Bruteforce-Angriffe auf fremde FTP-Hosts aus.

Ein tiefgehender technischer Bericht zu dem Fall mit Details zum Reverse Engineering findet sich ab Mitte der Woche unter internetwache.org.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und verantwortlich offengelegt werden.

 Viele Schutzmaßnahmen gegen Erkennung

eye home zur Startseite
Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Lemgo
  2. Fest AG, Bergisch Gladbach
  3. über ACADEMIC WORK, München
  4. operational services GmbH & Co. KG, Braunschweig, Berlin


Anzeige
Hardware-Angebote
  1. 819,00€
  2. ab 509,85€
  3. 77,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. K-Classic Mobil

    Smartphone-Tarif erhält mehr Datenvolumen

  2. Wisch und weg

    Tinder kommt auf den Desktop

  3. Elektroauto

    Tencent investiert 1,8 Milliarden US-Dollar in Tesla

  4. Planescape Torment

    Unsterblich in 4K-Auflösung

  5. Browser

    Vivaldi 1.8 erhält einen Komfortverlauf

  6. Logitech UE Wonderboom im Hands on

    Der Lautsprecher, der im Wasser schwimmt

  7. Vodafone

    Neue Red-Tarife erhalten ein Gigadepot

  8. EMIB

    Intel verbindet Multi-Chip-Module mit Silizium

  9. Updates

    Neue Beta-Runde für Apples vier Betriebssysteme

  10. Paketlieferdienst

    Hermes bestellt 1.500 Mercedes-Elektrolieferwagen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Nier Automata im Test Stilvolle Action mit Überraschungen
  2. Torment im Test Spiel mit dem Text vom Tod
  3. Nioh im Test Brutal schwierige Samurai-Action

WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

  1. Re: Als WhatsApp-und Facebook-Verweigerer...

    Kosta | 11:13

  2. Re: Vertragsfreiheit

    der_wahre_hannes | 11:13

  3. Bedeutet das...

    Niaxa | 11:12

  4. Re: Ist das legal wenn man es "Freenet" nennt?

    cepe | 11:12

  5. Re: Ganz toll

    deadeye | 11:11


  1. 11:16

  2. 11:02

  3. 10:34

  4. 09:58

  5. 09:08

  6. 09:01

  7. 08:38

  8. 08:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel