Eine Gruppe namens Syrian Malware Team (SMT) ist dabei beobachtet worden, dass sie mehrfach Angriffe mit einem raffinierten Remote Access Tool (RAT) namens Blackworm ausführte. Sicherheitsforscher von FireEye glauben nun, dass ein Mitglied dieser bisher vergleichsweise unbekannten syrischen Gruppe an der Entwicklung des Malware-Werkzeugkastens beteiligt war.
FireEye identifiziert elf Mitglieder von SMT. Sie unterstützen mit ihren Projekten die Regierung von Baschar al-Assad und führen das Gesicht des Präsidenten auf ihren Bannern. Aufgrund einiger Postings in Social Media glauben die Sicherheitsforscher sogar an eine direkte Verbindung zum seit 14 Jahren amtierenden Präsidenten.
Es gebe auch Verbindungen zur Syrian Electronic Army, die ebenfalls Al-Assad unterstützt, heißt es. Ihr waren schon mehrfach Einbrüche bei E-Commerce-Sites und Medienfirmen gelungen, ihre Spezialität scheint aber das Hacken von Twitter-Konten, zu denen sie sich überwiegend per Spearphishing Zugangsdaten verschafft.
SMT sei seit etwa Anfang 2011 aktiv, schreibt FireEye. Seine Kampagnen hätten also Monate begonnen, bevor anhaltende Proteste gegen die syrische Regierung zu einem Bürgerkrieg führten.
Die Gruppe hat mindestens schon zwei Versionen von Blackworm RAT eingesetzt, nämlich die Urversion 0.3.0 und die so genannte „Dark Edition“ 2.1. Als Autor gilt Naser al Mutairi alias „njq8“ aus Kuwait – zusammen mit einem Helfer, von dem nur der Hackername „Black Mafia“ bekannt ist.
Laut FireEye hat Al Mutairi das Schreiben und Verbreiten von Schadcode eingestellt, seit er unlängst von Microsoft verklagt wurde. Seine Software sei aber bei SMT weiter im Einsatz, um auf Zielrechnern etwa Anwendungen herunterzuladen und auszuführen, Dateien zu kopieren und Direktnachrichten zu versenden, kritische Windows-Prozesse zu beenden, bestimmte Websites zu blockieren und Peripheriegeräte abzuschalten. Auf diese Weise forscht SMT Ziele aus und führt auch selbst Angriffe durch.
Vor zwei Wochen hatte Kaspersky Lab vor zunehmender Malware aus Syrien gewarnt. Die Angriffe erfolgen häufig über Social-Networking-Plattformen, Youtube, Skype sowie E-Mail. Sie zielen vor allem auf syrische Aktivisten, aber Infektionen werden auch aus anderen Ländern gemeldet. In Umlauf sind manipulierte Whatsapp- und Viber-Apps ebenso wie unechte Antivirensoftware.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
