FireEye: Malware Hammertoss verhält sich wie ein Mensch

FireEye weist auf eine neue Art von Malware hin, die das Verhalten eines menschlichen Anwenders imitieren und sich etwa an seine Bürozeiten halten kann. Dadurch wird sie nicht leicht von modernen Sicherheitsprogrammen erkannt, die nach untypischem Verhalten im Netzwerk suchen. Das Programm heißt Hammertoss. FireEye glaubt, dass es von einer Hackergruppe stammt, die Unterstützung durch die russische Regierung genießt.

Diese Gruppe bezeichnet FireEye als APT-29, wobei APT für Advanced Persistent Threat steht – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Zur Malware selbst heißt es, eine solch raffinierte Kombination an Tricks habe man bisher noch nicht beobachtet. Wenn das Programm etwa Dateien stehle und auf einen Cloudserver hochlade, tue es das genau in dem Rhythmus, den ein menschlicher Nutzer einhalten würde.

Auch führe das Programm erst einmal Allerweltausfgaben aus. Eine davon sei es, Twitter zu starten. Dort suche es nach bestimmten Nutzerkonten, von denen es Instruktionen in Form scheinbar banaler Tweets erhalte. Zudem lade es scheinbar normale Bilder von der Programmierer-Website GitHub herunter. Mittels Steganografie seien darin aber weitere Anweisungen verborgen – etwa die Adresse des Cloudservers, auf dem gestohlene Informationen zu deponieren seien. Somit könne der Export beginnen.

„Wir glauben wirklich, dass Hammertoss ein Beispiel für die jüngste Entwicklung von Staaten gesponserter Akteure ist, um traditionelle Verteidigung zu umgehen“, kommentiert FireEye-Forscher Jordan Berry. Über Opfer des Angriffs kann sich das Sicherheitsunternehmen aufgrund von Vertraulichkeitsvereinbarungen aber nicht äußern. Es handle sich nur um eine kleine Zahl hochwertiger Ziele: „Wenn eine Erkennung unbedingt vermieden werden muss, zücken sie die schweren Waffen“, so Berry. „Es wird sparsam eingesetzt, damit es effizient bleibt.“

Aus der Vergangenheit wisse man, dass Techniken staatlicher Hacker später von gewöhnlichen Kriminellen aufgegriffen würden, erklärt der FireEye-Forscher auch. Irgendwann werde solche Angriffstechnik also in gewöhnlichen Schadprogrammen eingesetzt werden. Zugleich schreite zum Glück die Abwehr voran: „Wenn das im Lauf der Zeit besser verstanden wird und die Leute ihre Sicherheitskontrollen besser einschätzen können, werden sich auch Möglichkeiten finden, so etwas im eigenen Netz zu unterbinden.“

APT-29 war im Jahr 2013 für die von Kaspersky Lab und CrySys entdeckte Backdoor MiniDuke verantwortlich. Mit ihr wurden unter anderem europäische Regierungen angegriffen. Auch sie setzte schon Kommunikation via Twitter und Steganografie ein, wenngleich weniger ausgefeilt.

[mit Material von Laura Hautala, News.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

25 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago