Abo
  • Services:
Anzeige
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde.
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde. (Bild: Bernard Landgraf, CC By-2.0)

Malware mit geklautem Programm

Anzeige

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als "eines der guten" bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein "gutes Werkzeug gestohlen und böses damit gemacht", sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 Rocket Kitten: Die Geschichte einer Malware-Analyse

eye home zur Startseite
Lala Satalin... 30. Dez 2014

Ich ziehe die Burma oder Maine-Coon vor. :D

Gamma Ray Burst 29. Dez 2014

Ja am Ende, eine absichtlich falsche Faehrte die am Ende die richtige ist, klassischer...

Gamma Ray Burst 29. Dez 2014

Nach Wikipedia wurde die Firma 1996 in Buenos Aires gegruendet. Da würde ich glatt...

Kleba 29. Dez 2014

Seite 1, zweiter Absatz: "Die Datenexperten Gadi Evron und Tillmann Werner wollten...

Chikken 28. Dez 2014

Der Vortrag ist inzwischen auch auf YouTube verfügbar: http://youtu.be/WIhKovlHDJ0 Grüße...



Anzeige

Stellenmarkt
  1. Bosch SoftTec GmbH, Hildesheim
  2. Dirk Rossmann GmbH, Burgwedel
  3. operational services GmbH & Co. KG, deutschlandweit
  4. Thalia Bücher GmbH, Hagen (Raum Dortmund)


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 49,00€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)

Folgen Sie uns
       


  1. Netzausrüster

    Nokia macht weiter hohen Verlust

  2. Alien Covenant In Utero

    Neomorph im VR-Brustkasten

  3. Smarter Lautsprecher

    Google Home assistiert beim Kochen

  4. id Software

    "Global Illumination ist derzeit die größte Herausforderung"

  5. Echo Look

    Amazon stellt erste Kamera mit Alexa vor

  6. e.GO Life

    Elektroauto aus Deutschland für 15.900 Euro

  7. Apple

    App schaltet Touch Bar des Macbook Pro ab

  8. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  9. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  10. Elektroauto

    VW testet E-Trucks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

  1. Re: Stadtautos verbieten

    co | 10:58

  2. Re: Ist es denn so schwer...?

    ScaniaMF | 10:58

  3. Re: Nur 3x gekotzt

    ScaniaMF | 10:57

  4. Re: Zukünftige Updates

    Teebecher | 10:55

  5. Re: Ihr seid die Besten! Vom leicht...

    plastikschaufel | 10:54


  1. 11:10

  2. 10:54

  3. 09:52

  4. 09:00

  5. 08:50

  6. 07:37

  7. 07:12

  8. 23:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel