FireEye weist auf eine neue Art von Malware hin, die das Verhalten eines menschlichen Anwenders imitieren und sich etwa an seine Bürozeiten halten kann. Dadurch wird sie nicht leicht von modernen Sicherheitsprogrammen erkannt, die nach untypischem Verhalten im Netzwerk suchen. Das Programm heißt Hammertoss. FireEye glaubt, dass es von einer Hackergruppe stammt, die Unterstützung durch die russische Regierung genießt.
Diese Gruppe bezeichnet FireEye als APT-29, wobei APT für Advanced Persistent Threat steht – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Zur Malware selbst heißt es, eine solch raffinierte Kombination an Tricks habe man bisher noch nicht beobachtet. Wenn das Programm etwa Dateien stehle und auf einen Cloudserver hochlade, tue es das genau in dem Rhythmus, den ein menschlicher Nutzer einhalten würde.
„Wir glauben wirklich, dass Hammertoss ein Beispiel für die jüngste Entwicklung von Staaten gesponserter Akteure ist, um traditionelle Verteidigung zu umgehen“, kommentiert FireEye-Forscher Jordan Berry. Über Opfer des Angriffs kann sich das Sicherheitsunternehmen aufgrund von Vertraulichkeitsvereinbarungen aber nicht äußern. Es handle sich nur um eine kleine Zahl hochwertiger Ziele: „Wenn eine Erkennung unbedingt vermieden werden muss, zücken sie die schweren Waffen“, so Berry. „Es wird sparsam eingesetzt, damit es effizient bleibt.“
Aus der Vergangenheit wisse man, dass Techniken staatlicher Hacker später von gewöhnlichen Kriminellen aufgegriffen würden, erklärt der FireEye-Forscher auch. Irgendwann werde solche Angriffstechnik also in gewöhnlichen Schadprogrammen eingesetzt werden. Zugleich schreite zum Glück die Abwehr voran: „Wenn das im Lauf der Zeit besser verstanden wird und die Leute ihre Sicherheitskontrollen besser einschätzen können, werden sich auch Möglichkeiten finden, so etwas im eigenen Netz zu unterbinden.“
APT-29 war im Jahr 2013 für die von Kaspersky Lab und CrySys entdeckte Backdoor MiniDuke verantwortlich. Mit ihr wurden unter anderem europäische Regierungen angegriffen. Auch sie setzte schon Kommunikation via Twitter und Steganografie ein, wenngleich weniger ausgefeilt.
[mit Material von Laura Hautala, News.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…