FireEye: Malware Hammertoss verhält sich wie ein Mensch

FireEye weist auf eine neue Art von Malware hin, die das Verhalten eines menschlichen Anwenders imitieren und sich etwa an seine Bürozeiten halten kann. Dadurch wird sie nicht leicht von modernen Sicherheitsprogrammen erkannt, die nach untypischem Verhalten im Netzwerk suchen. Das Programm heißt Hammertoss. FireEye glaubt, dass es von einer Hackergruppe stammt, die Unterstützung durch die russische Regierung genießt.

Diese Gruppe bezeichnet FireEye als APT-29, wobei APT für Advanced Persistent Threat steht – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Zur Malware selbst heißt es, eine solch raffinierte Kombination an Tricks habe man bisher noch nicht beobachtet. Wenn das Programm etwa Dateien stehle und auf einen Cloudserver hochlade, tue es das genau in dem Rhythmus, den ein menschlicher Nutzer einhalten würde.

Auch führe das Programm erst einmal Allerweltausfgaben aus. Eine davon sei es, Twitter zu starten. Dort suche es nach bestimmten Nutzerkonten, von denen es Instruktionen in Form scheinbar banaler Tweets erhalte. Zudem lade es scheinbar normale Bilder von der Programmierer-Website GitHub herunter. Mittels Steganografie seien darin aber weitere Anweisungen verborgen – etwa die Adresse des Cloudservers, auf dem gestohlene Informationen zu deponieren seien. Somit könne der Export beginnen.

„Wir glauben wirklich, dass Hammertoss ein Beispiel für die jüngste Entwicklung von Staaten gesponserter Akteure ist, um traditionelle Verteidigung zu umgehen“, kommentiert FireEye-Forscher Jordan Berry. Über Opfer des Angriffs kann sich das Sicherheitsunternehmen aufgrund von Vertraulichkeitsvereinbarungen aber nicht äußern. Es handle sich nur um eine kleine Zahl hochwertiger Ziele: „Wenn eine Erkennung unbedingt vermieden werden muss, zücken sie die schweren Waffen“, so Berry. „Es wird sparsam eingesetzt, damit es effizient bleibt.“

Aus der Vergangenheit wisse man, dass Techniken staatlicher Hacker später von gewöhnlichen Kriminellen aufgegriffen würden, erklärt der FireEye-Forscher auch. Irgendwann werde solche Angriffstechnik also in gewöhnlichen Schadprogrammen eingesetzt werden. Zugleich schreite zum Glück die Abwehr voran: „Wenn das im Lauf der Zeit besser verstanden wird und die Leute ihre Sicherheitskontrollen besser einschätzen können, werden sich auch Möglichkeiten finden, so etwas im eigenen Netz zu unterbinden.“

APT-29 war im Jahr 2013 für die von Kaspersky Lab und CrySys entdeckte Backdoor MiniDuke verantwortlich. Mit ihr wurden unter anderem europäische Regierungen angegriffen. Auch sie setzte schon Kommunikation via Twitter und Steganografie ein, wenngleich weniger ausgefeilt.

[mit Material von Laura Hautala, News.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de