Eine Gruppe namens Syrian Malware Team (SMT) ist dabei beobachtet worden, dass sie mehrfach Angriffe mit einem raffinierten Remote Access Tool (RAT) namens Blackworm ausführte. Sicherheitsforscher von FireEye glauben nun, dass ein Mitglied dieser bisher vergleichsweise unbekannten syrischen Gruppe an der Entwicklung des Malware-Werkzeugkastens beteiligt war.
FireEye identifiziert elf Mitglieder von SMT. Sie unterstützen mit ihren Projekten die Regierung von Baschar al-Assad und führen das Gesicht des Präsidenten auf ihren Bannern. Aufgrund einiger Postings in Social Media glauben die Sicherheitsforscher sogar an eine direkte Verbindung zum seit 14 Jahren amtierenden Präsidenten.
Es gebe auch Verbindungen zur Syrian Electronic Army, die ebenfalls Al-Assad unterstützt, heißt es. Ihr waren schon mehrfach Einbrüche bei E-Commerce-Sites und Medienfirmen gelungen, ihre Spezialität scheint aber das Hacken von Twitter-Konten, zu denen sie sich überwiegend per Spearphishing Zugangsdaten verschafft.
SMT sei seit etwa Anfang 2011 aktiv, schreibt FireEye. Seine Kampagnen hätten also Monate begonnen, bevor anhaltende Proteste gegen die syrische Regierung zu einem Bürgerkrieg führten.
Die Gruppe hat mindestens schon zwei Versionen von Blackworm RAT eingesetzt, nämlich die Urversion 0.3.0 und die so genannte „Dark Edition“ 2.1. Als Autor gilt Naser al Mutairi alias „njq8“ aus Kuwait – zusammen mit einem Helfer, von dem nur der Hackername „Black Mafia“ bekannt ist.
Laut FireEye hat Al Mutairi das Schreiben und Verbreiten von Schadcode eingestellt, seit er unlängst von Microsoft verklagt wurde. Seine Software sei aber bei SMT weiter im Einsatz, um auf Zielrechnern etwa Anwendungen herunterzuladen und auszuführen, Dateien zu kopieren und Direktnachrichten zu versenden, kritische Windows-Prozesse zu beenden, bestimmte Websites zu blockieren und Peripheriegeräte abzuschalten. Auf diese Weise forscht SMT Ziele aus und führt auch selbst Angriffe durch.
Vor zwei Wochen hatte Kaspersky Lab vor zunehmender Malware aus Syrien gewarnt. Die Angriffe erfolgen häufig über Social-Networking-Plattformen, Youtube, Skype sowie E-Mail. Sie zielen vor allem auf syrische Aktivisten, aber Infektionen werden auch aus anderen Ländern gemeldet. In Umlauf sind manipulierte Whatsapp- und Viber-Apps ebenso wie unechte Antivirensoftware.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
