Rogue, Malware speiender Tor-Exit-Knoten mit Cyber-Spionage-Gruppe

Ein Malware-Programm, das kürzlich über einen Rogue-Server im Tor-Anonymitätsnetzwerk verbreitet wurde, wurde auch bei gezielten Angriffen gegen europäische Regierungsbehörden eingesetzt.

Die Malware wurde von Sicherheitsforschern OnionDuke getauft von der Antivirenfirma F-Secure, die glaubt, dass sie mit MiniDuke verbunden ist, einer Cyberspionage-Bedrohung russischer Herkunft, die vor ihrer Entdeckung im Februar 2013 eingesetzt wurde, um NATO- und europäische Regierungen anzugreifen.

Im Oktober Josh Pitts, ein Forscher von Leviathan Security Group, fand einen Tor-Exit-Knoten in Russland, der Malware mit allen ausführbaren Dateien umschlang, die von Benutzern über den Knoten heruntergeladen wurden. Wenn man das Internet anonym durch Tor durchsucht, wird der Verkehr durch zufällige Relais innerhalb des Tor-Netzwerkes geleitet und dann geht es wieder über einen der vielen sogenannten Exit-Knoten, die von Freiwilligen auf der ganzen Welt betrieben werden, ins Internet.

[Weiter Lesen: So entfernen Sie Malware von Ihrem Windows-PC]

Der von Pitts identifizierte bösartige russische Exit-Knoten wurde aus dem Tor-Netzwerk verbannt, aber Forscher von F-Secure analysierten die verteilte Malware und stellten fest, dass bei der Installation zusätzliche heruntergeladen wurde böswillige Komponenten von mehreren Command-and-Control-Servern.

"Wir haben zum Beispiel beobachtet, Komponenten für den Diebstahl von Anmeldeinformationen von der Opfermaschine und Komponenten für das Sammeln weiterer Informationen über das kompromittierte System wie das Vorhandensein von Antivirus-Software oder eine Firewall ", sagten die F-Secure-Forscher am Freitag in einem Blogpost.

Einer der von der Malware verwendeten Command-and-Control-Domainnamen wurde 2011 von jemandem, den wir kennen, registriert ed alias John Kasai. Etwa zur gleichen Zeit wurde der Name John Kasai verwendet, um eine Reihe anderer Domains zu registrieren, darunter zwei von MiniDuke.

"Dies legt nahe, dass, obwohl OnionDuke und MiniDuke zwei getrennte Malware-Familien sind, die dahinter stehenden Akteure sind "Auf der Grundlage von Kompilierungszeitstempeln und Entdeckungsdaten von Samples, die wir beobachtet haben, glauben wir, dass die OnionDuke-Operatoren heruntergeladene ausführbare Dateien mindestens seit Ende Oktober infiziert haben", so die F-Secure-Forscher 2013 ", sagten die Forscher. Seit mindestens Februar 2014 wurde OnionDuke auch über infizierte ausführbare Dateien in Raubkopien verbreitet, die über BitTorrent heruntergeladen wurden.

Die F-Secure-Forscher fanden, was sie als "starken Beweis" bezeichneten, dass OnionDuke auch bei gezielten Angriffen gegen die europäische Regierung eingesetzt wurde Agenturen, wie MiniDuke, aber sie haben die genauen Angriffsvektoren, die in diesen Kampagnen verwendet werden, noch nicht identifiziert.

"Auf der einen Seite ist das" Schießen einer Fliege mit einer Kanonen-Masseninfektionsstrategie durch modifizierte Binärdateien und auf der anderen Seite , desto mehr chirurgisches Targeting, das traditionell mit APT-Operationen (Advanced Persistent Threat) verbunden ist ", sagten sie.