FireEye weist auf eine neue Art von Malware hin, die das Verhalten eines menschlichen Anwenders imitieren und sich etwa an seine Bürozeiten halten kann. Dadurch wird sie nicht leicht von modernen Sicherheitsprogrammen erkannt, die nach untypischem Verhalten im Netzwerk suchen. Das Programm heißt Hammertoss. FireEye glaubt, dass es von einer Hackergruppe stammt, die Unterstützung durch die russische Regierung genießt.
Diese Gruppe bezeichnet FireEye als APT-29, wobei APT für Advanced Persistent Threat steht – eine fortdauernde Bedrohung mit staatlicher Unterstützung, und zwar die 29. auf FireEyes Liste. Zur Malware selbst heißt es, eine solch raffinierte Kombination an Tricks habe man bisher noch nicht beobachtet. Wenn das Programm etwa Dateien stehle und auf einen Cloudserver hochlade, tue es das genau in dem Rhythmus, den ein menschlicher Nutzer einhalten würde.
„Wir glauben wirklich, dass Hammertoss ein Beispiel für die jüngste Entwicklung von Staaten gesponserter Akteure ist, um traditionelle Verteidigung zu umgehen“, kommentiert FireEye-Forscher Jordan Berry. Über Opfer des Angriffs kann sich das Sicherheitsunternehmen aufgrund von Vertraulichkeitsvereinbarungen aber nicht äußern. Es handle sich nur um eine kleine Zahl hochwertiger Ziele: „Wenn eine Erkennung unbedingt vermieden werden muss, zücken sie die schweren Waffen“, so Berry. „Es wird sparsam eingesetzt, damit es effizient bleibt.“
Aus der Vergangenheit wisse man, dass Techniken staatlicher Hacker später von gewöhnlichen Kriminellen aufgegriffen würden, erklärt der FireEye-Forscher auch. Irgendwann werde solche Angriffstechnik also in gewöhnlichen Schadprogrammen eingesetzt werden. Zugleich schreite zum Glück die Abwehr voran: „Wenn das im Lauf der Zeit besser verstanden wird und die Leute ihre Sicherheitskontrollen besser einschätzen können, werden sich auch Möglichkeiten finden, so etwas im eigenen Netz zu unterbinden.“
APT-29 war im Jahr 2013 für die von Kaspersky Lab und CrySys entdeckte Backdoor MiniDuke verantwortlich. Mit ihr wurden unter anderem europäische Regierungen angegriffen. Auch sie setzte schon Kommunikation via Twitter und Steganografie ein, wenngleich weniger ausgefeilt.
[mit Material von Laura Hautala, News.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…