Kaspersky Lab hat nach eigenen Angaben Computer entdeckt, die mit einer DarkPulsar genannten Malware infiziert wurden. Sie stammt angeblich aus dem Fundus des US-Auslandsgeheimdiensts National Security Agency (NSA). „Wir haben rund 50 Opfer gefunden, gehen aber davon aus, dass die Zahl viel höher ist“, teilte der Sicherheitsanbieter mit.
Kaspersky konnte DarkPulsar der NSA zuordnen, da der Exploit aus einer Sammlung von Windows-Hackings-Tools stammt, die die Gruppe Shadow Brokers im April 2017 veröffentlicht hatte. In der Sammlung fand sich auch der Eternal Blue genannte Exploit, der maßgeblich für die Verbreitung von WannyCry, NotPetya und Bad Rabbit benutzt wurde – weswegen sich die Sicherheitsbranche vorrangig um ihn kümmerte.
Forscher von Kaspersky beschäftigten sich in den vergangenen Monaten jedoch intensiver mit den anderen Werkzeugen aus dem Shadow-Broker-Leak. Dazu gehörte FuzzBunch, ein Exploit-Framework, das unter anderem von der Equation Group, einer Offensiv-Einheit der NSA, eingesetzt wurde, um Schadsoftware zu verbreiten. DarkPulsar wiederum soll eine Malware sein, die per FuzzBunch implantiert wird.
DarkPulsar ist den Sicherheitsforschern zufolge in erster Linie eine Backdoor, die beliebigen Schadcode ausführen soll. Das soll der Code der Administrationsoberfläche von DarkPulsar nahelegen. Die von den Shadow Brokers veröffentlichten Unterlagen sollen jedoch nur besagte Oberfläche beschreiben. Erst eine genauere Analyse der Kaspersky-Forscher brachte auch die Backdoor-Funktion zu Tage und führte schließlich zur Identifikation der mindestens 50 infizierten Systeme.
Kaspersky entdeckte im Code von DarkPulsar aber auch eine Selbstzerstörungsfunktion. Sie sei wahrscheinlich von der Equation Group eingeführt worden, um nach der Veröffentlichung der Hacking-Tools durch die Shadow Brokers die eigenen Spuren zu verwischen. „Die 50 Opfer sind wahrscheinlich nur diejenigen, die die Angreifer einfach vergessen haben“, spekuliere die Forscher.
Unklar ist laut Kaspersky, wer tatsächlich hinter den Angriffen steckt. Die Forscher schließen nicht aus, dass sie von der Equation Group ausgeführt wurden. Es sei aber auch möglich, dass die Shadow Broker Details zur DarkPulsar-Backdoor bewusst nicht veröffentlicht hätten, um das Tool für eigene Zwecke zu benutzen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
