Bericht: Syrische Gruppierung steht hinter Blackworm RAT

Eine Gruppe namens Syrian Malware Team (SMT) ist dabei beobachtet worden, dass sie mehrfach Angriffe mit einem raffinierten Remote Access Tool (RAT) namens Blackworm ausführte. Sicherheitsforscher von FireEye glauben nun, dass ein Mitglied dieser bisher vergleichsweise unbekannten syrischen Gruppe an der Entwicklung des Malware-Werkzeugkastens beteiligt war.

FireEye identifiziert elf Mitglieder von SMT. Sie unterstützen mit ihren Projekten die Regierung von Baschar al-Assad und führen das Gesicht des Präsidenten auf ihren Bannern. Aufgrund einiger Postings in Social Media glauben die Sicherheitsforscher sogar an eine direkte Verbindung zum seit 14 Jahren amtierenden Präsidenten.

Es gebe auch Verbindungen zur Syrian Electronic Army, die ebenfalls Al-Assad unterstützt, heißt es. Ihr waren schon mehrfach Einbrüche bei E-Commerce-Sites und Medienfirmen gelungen, ihre Spezialität scheint aber das Hacken von Twitter-Konten, zu denen sie sich überwiegend per Spearphishing Zugangsdaten verschafft.

SMT sei seit etwa Anfang 2011 aktiv, schreibt FireEye. Seine Kampagnen hätten also Monate begonnen, bevor anhaltende Proteste gegen die syrische Regierung zu einem Bürgerkrieg führten.

Die Gruppe hat mindestens schon zwei Versionen von Blackworm RAT eingesetzt, nämlich die Urversion 0.3.0 und die so genannte „Dark Edition“ 2.1. Als Autor gilt Naser al Mutairi alias „njq8“ aus Kuwait – zusammen mit einem Helfer, von dem nur der Hackername „Black Mafia“ bekannt ist.

Laut FireEye hat Al Mutairi das Schreiben und Verbreiten von Schadcode eingestellt, seit er unlängst von Microsoft verklagt wurde. Seine Software sei aber bei SMT weiter im Einsatz, um auf Zielrechnern etwa Anwendungen herunterzuladen und auszuführen, Dateien zu kopieren und Direktnachrichten zu versenden, kritische Windows-Prozesse zu beenden, bestimmte Websites zu blockieren und Peripheriegeräte abzuschalten. Auf diese Weise forscht SMT Ziele aus und führt auch selbst Angriffe durch.

Vor zwei Wochen hatte Kaspersky Lab vor zunehmender Malware aus Syrien gewarnt. Die Angriffe erfolgen häufig über Social-Networking-Plattformen, Youtube, Skype sowie E-Mail. Sie zielen vor allem auf syrische Aktivisten, aber Infektionen werden auch aus anderen Ländern gemeldet. In Umlauf sind manipulierte Whatsapp- und Viber-Apps ebenso wie unechte Antivirensoftware.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

24 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago