FireEye: Malware Hammertoss verhält sich wie ein Mensch

FireEye weist auf eine neue Art von Malware hin, die das Verhalten eines menschlichen Anwenders imitieren und sich etwa an seine Bürozeiten halten kann. Dadurch wird sie nicht leicht von modernen Sicherheitsprogrammen erkannt, die nach untypischem Verhalten im Netzwerk suchen. Das Programm heißt Hammertoss. FireEye glaubt, dass es von einer Hackergruppe stammt, die Unterstützung durch die russische Regierung genießt.

Diese Gruppe bezeichnet FireEye als APT-29, wobei APT für Advanced Persistent Threat steht – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Zur Malware selbst heißt es, eine solch raffinierte Kombination an Tricks habe man bisher noch nicht beobachtet. Wenn das Programm etwa Dateien stehle und auf einen Cloudserver hochlade, tue es das genau in dem Rhythmus, den ein menschlicher Nutzer einhalten würde.

Auch führe das Programm erst einmal Allerweltausfgaben aus. Eine davon sei es, Twitter zu starten. Dort suche es nach bestimmten Nutzerkonten, von denen es Instruktionen in Form scheinbar banaler Tweets erhalte. Zudem lade es scheinbar normale Bilder von der Programmierer-Website GitHub herunter. Mittels Steganografie seien darin aber weitere Anweisungen verborgen – etwa die Adresse des Cloudservers, auf dem gestohlene Informationen zu deponieren seien. Somit könne der Export beginnen.

„Wir glauben wirklich, dass Hammertoss ein Beispiel für die jüngste Entwicklung von Staaten gesponserter Akteure ist, um traditionelle Verteidigung zu umgehen“, kommentiert FireEye-Forscher Jordan Berry. Über Opfer des Angriffs kann sich das Sicherheitsunternehmen aufgrund von Vertraulichkeitsvereinbarungen aber nicht äußern. Es handle sich nur um eine kleine Zahl hochwertiger Ziele: „Wenn eine Erkennung unbedingt vermieden werden muss, zücken sie die schweren Waffen“, so Berry. „Es wird sparsam eingesetzt, damit es effizient bleibt.“

Aus der Vergangenheit wisse man, dass Techniken staatlicher Hacker später von gewöhnlichen Kriminellen aufgegriffen würden, erklärt der FireEye-Forscher auch. Irgendwann werde solche Angriffstechnik also in gewöhnlichen Schadprogrammen eingesetzt werden. Zugleich schreite zum Glück die Abwehr voran: „Wenn das im Lauf der Zeit besser verstanden wird und die Leute ihre Sicherheitskontrollen besser einschätzen können, werden sich auch Möglichkeiten finden, so etwas im eigenen Netz zu unterbinden.“

APT-29 war im Jahr 2013 für die von Kaspersky Lab und CrySys entdeckte Backdoor MiniDuke verantwortlich. Mit ihr wurden unter anderem europäische Regierungen angegriffen. Auch sie setzte schon Kommunikation via Twitter und Steganografie ein, wenngleich weniger ausgefeilt.

[mit Material von Laura Hautala, News.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago