Abo
  • Services:
Anzeige
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde.
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde. (Bild: Bernard Landgraf, CC By-2.0)

Malware mit geklautem Programm

Anzeige

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als "eines der guten" bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein "gutes Werkzeug gestohlen und böses damit gemacht", sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 Rocket Kitten: Die Geschichte einer Malware-Analyse

eye home zur Startseite
Lala Satalin... 30. Dez 2014

Ich ziehe die Burma oder Maine-Coon vor. :D

Gamma Ray Burst 29. Dez 2014

Ja am Ende, eine absichtlich falsche Faehrte die am Ende die richtige ist, klassischer...

Gamma Ray Burst 29. Dez 2014

Nach Wikipedia wurde die Firma 1996 in Buenos Aires gegruendet. Da würde ich glatt...

Kleba 29. Dez 2014

Seite 1, zweiter Absatz: "Die Datenexperten Gadi Evron und Tillmann Werner wollten...

Chikken 28. Dez 2014

Der Vortrag ist inzwischen auch auf YouTube verfügbar: http://youtu.be/WIhKovlHDJ0 Grüße...



Anzeige

Stellenmarkt
  1. Daimler AG, Germersheim
  2. ZytoService Deutschland GmbH, Hamburg
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. BASF Business Services GmbH, Ludwigshafen


Anzeige
Blu-ray-Angebote
  1. 1 Monat für 1€
  2. 27,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Die Woche im Video

    Wegen Krack wie auf Crack!

  2. Windows 10

    Fall Creators Update macht Ryzen schneller

  3. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  4. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  5. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  6. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  7. Android-Apps

    Google belohnt Fehlersuche im Play Store

  8. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  9. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  10. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: Wie viele Akkus sitzen im Vorderwagen?

    KaJu74 | 09:00

  2. Re: Smartphone Kamera ...

    flauschi123 | 08:45

  3. Re: Anderorts wird schon das Ende der eGK...

    Dietbert | 08:33

  4. Re: Ist bestimmt voller Creeper

    unbuntu | 08:18

  5. Re: Wir kolonialisieren

    unbuntu | 08:16


  1. 09:03

  2. 22:38

  3. 18:00

  4. 17:47

  5. 16:54

  6. 16:10

  7. 15:50

  8. 15:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel