Abo
  • Services:
Anzeige
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon.
Ein bislang unbekannter Cyberspionagering wurde nach der Zeder benannt, dem Nationalbaum des Libanon. (Bild: Las Bozych Cedrów, CC BY-SA 3.0)

Vom Webserver in interne Netz

Anzeige

Von dem infizierten Webserver aus versuchen die Einbrecher weitere Rechner im Netzwerk zu kompromittieren. Bei Explosive handele es sich jedoch nicht um einen Wurm, der sich automatisch im Netzwerk verteile, betonte Shalyt. Die Angreifer suchten ihre Opfer vielmehr gezielt aus. Inzwischen gebe es auch eine Version der Malware, die speziell für die Weitergabe per USB-Stick erstellt worden sei. Insgesamt haben die Experten bei Check Point fünf verschiedene Versionen der Spionagesoftware gefunden, die ab 2012 immer weiter entwickelt wurde. Sie sei in dieser Zeit bereits mehrfach von verschiedener Antivirensoftware entdeckt worden, sagte Shaylat. Allerdings sei erst jetzt ein Zusammenhang zwischen den Versionen deutlich geworden.

Mit verschiedenen Tricks versucht die Spionagesoftware, ihre Aktivitäten zu tarnen. Während bei der ersten Version der Netzwerkverkehr zum C&C-Server noch unverschlüsselt war, wird in Version 2 und 3 der Spyware eine eigene, komplexe Kodierfunktion verwendet. Die IP-Adresse des zentralen C&C-Servers ist fest in der Spyware kodiert. Einzelne Zeichen in Strings werden in hexadezimale ASCII-Werte verwandelt, die jeweils durch ein @-Zeichen getrennt sind. Wird der erste C&C-Server nicht gefunden, versucht Explosive eine neue IP-Adresse bei einem ebenfalls hartkodierten Update-Server zu erhalten. Scheitert auch das, verwendet die Spionagesoftware einen integrierten Domain Generation Algorithmus (DGA), um statt über einer IP-Adresse eine Verbindung über einen Domainnamen herzustellen. DGAs werden häufig in Malware für die Verbindungsherstellung in ein Botnetz verwendet. Müssen große Datenmengen übertragen werden, bauen die Angreifer auch ab und an einen SSH-Tunnel zwischen dem Rechner eines Opfers und einem Server auf.

Angreifer mit politischem Hintergrund

Auf einem infizierten Rechner kann Explosive per Keylogger und aus dem Zwischenspeicher Daten sammeln. Außerdem liest die Spionagesoftware Chroniken von Browsern oder Registry-Werte aus. Die Angreifer haben Explosive in eine ausführbare Datei und eine dazugehörige DLL-Bibiliothek unterteilt. Die Bibliothek wird nur im Bedarfsfall geladen, auch um das Aufspüren der Software durch Antivirensoftware oder Angriffserkennungssysteme zu erschweren. Außerdem können die Angreifer damit leichter weitere Funktionen einbauen. Wurde die Malware einmal entdeckt, bauen die Angreifer sie weitgehend um, damit sie wieder unentdeckt bleibt. Ferner wird stets die Arbeitsspeicherauslastung überwacht, und die von Explosive genutzten Threads können jederzeit aus der Ferne beendet werden.

Bei der Spionagesoftware der Operation Volatile Cedar handele es sich zwar nicht um eine so ausgereifte Software wie die der Equation Group, sagte Shaylat. Es steckten aber auch definitiv keine Skript-Kiddies hinter der Software. Was den Entwicklern der Spionagesoftware an Programmierkenntnissen mangele, um ihre Software zu verstecken, machten sie durch eine disziplinierte Steuerung ihrer Malware wieder wett.

Erst kürzlich wurde eine Hackergruppe namens Wüstenfalken enttarnt, die ebenfalls hauptsächlich im Nahen Osten agiert. Sie verbreiten ihre Spionagesoftware jedoch vornehmlich über Social Engineering.

 Operation Volatile Cedar: Spionagesoftware aus dem Libanon

eye home zur Startseite



Anzeige

Stellenmarkt
  1. Tokheim Service Verwaltung GmbH, Nentershausen
  2. GiPsy Software Solutions GmbH, Asbach
  3. operational services GmbH & Co. KG, Berlin, Frankfurt, Nürnberg, Zwickau, Dresden
  4. Harvey Nash GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 2,99€
  3. 39,00€ + 1,99€ Versand

Folgen Sie uns
       


  1. MWC Shanghai

    LTE-Technologie erreicht Latenz von unter zwei Millisekunden

  2. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  3. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  4. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  5. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  6. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  7. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  8. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  9. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  10. 10 GBit/s

    Erste 5G-Endgeräte sind noch einen Kubikmeter groß



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dirt 4 im Test: Vom Fahrschüler zum Rallye-Weltmeister
Dirt 4 im Test
Vom Fahrschüler zum Rallye-Weltmeister

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Aruba HPE Indoor-Tracking leicht gemacht
  2. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  3. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN

Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  1. Re: "der gesamte Auftrag sei leider fehlerhaft im...

    fabische | 00:18

  2. Re: gewolltes "zusatzgeschäft"

    DerDy | 00:08

  3. Re: Dafür mag ich ihn ...

    SelfEsteem | 00:07

  4. Re: Ist nicht wahr - warten auf das Auto kann...

    fabische | 00:05

  5. Re: 30 GB Datenvolumen - lol

    DerDy | 00:05


  1. 18:23

  2. 17:10

  3. 16:17

  4. 14:54

  5. 14:39

  6. 14:13

  7. 13:22

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel