Eine Gruppe namens Syrian Malware Team (SMT) ist dabei beobachtet worden, dass sie mehrfach Angriffe mit einem raffinierten Remote Access Tool (RAT) namens Blackworm ausführte. Sicherheitsforscher von FireEye glauben nun, dass ein Mitglied dieser bisher vergleichsweise unbekannten syrischen Gruppe an der Entwicklung des Malware-Werkzeugkastens beteiligt war.
FireEye identifiziert elf Mitglieder von SMT. Sie unterstützen mit ihren Projekten die Regierung von Baschar al-Assad und führen das Gesicht des Präsidenten auf ihren Bannern. Aufgrund einiger Postings in Social Media glauben die Sicherheitsforscher sogar an eine direkte Verbindung zum seit 14 Jahren amtierenden Präsidenten.
Es gebe auch Verbindungen zur Syrian Electronic Army, die ebenfalls Al-Assad unterstützt, heißt es. Ihr waren schon mehrfach Einbrüche bei E-Commerce-Sites und Medienfirmen gelungen, ihre Spezialität scheint aber das Hacken von Twitter-Konten, zu denen sie sich überwiegend per Spearphishing Zugangsdaten verschafft.
SMT sei seit etwa Anfang 2011 aktiv, schreibt FireEye. Seine Kampagnen hätten also Monate begonnen, bevor anhaltende Proteste gegen die syrische Regierung zu einem Bürgerkrieg führten.
Die Gruppe hat mindestens schon zwei Versionen von Blackworm RAT eingesetzt, nämlich die Urversion 0.3.0 und die so genannte „Dark Edition“ 2.1. Als Autor gilt Naser al Mutairi alias „njq8“ aus Kuwait – zusammen mit einem Helfer, von dem nur der Hackername „Black Mafia“ bekannt ist.
Laut FireEye hat Al Mutairi das Schreiben und Verbreiten von Schadcode eingestellt, seit er unlängst von Microsoft verklagt wurde. Seine Software sei aber bei SMT weiter im Einsatz, um auf Zielrechnern etwa Anwendungen herunterzuladen und auszuführen, Dateien zu kopieren und Direktnachrichten zu versenden, kritische Windows-Prozesse zu beenden, bestimmte Websites zu blockieren und Peripheriegeräte abzuschalten. Auf diese Weise forscht SMT Ziele aus und führt auch selbst Angriffe durch.
Vor zwei Wochen hatte Kaspersky Lab vor zunehmender Malware aus Syrien gewarnt. Die Angriffe erfolgen häufig über Social-Networking-Plattformen, Youtube, Skype sowie E-Mail. Sie zielen vor allem auf syrische Aktivisten, aber Infektionen werden auch aus anderen Ländern gemeldet. In Umlauf sind manipulierte Whatsapp- und Viber-Apps ebenso wie unechte Antivirensoftware.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…