Kaspersky warnt vor mutmaßlicher NSA-Malware DarkPulsar

Kaspersky Lab hat nach eigenen Angaben Computer entdeckt, die mit einer DarkPulsar genannten Malware infiziert wurden. Sie stammt angeblich aus dem Fundus des US-Auslandsgeheimdiensts National Security Agency (NSA). „Wir haben rund 50 Opfer gefunden, gehen aber davon aus, dass die Zahl viel höher ist“, teilte der Sicherheitsanbieter mit.

Die Opfer befinden sich demnach alle in Ägypten, dem Iran und Russland. Auf den befallenen Systemen soll in der Regel Windows Server 2003 oder 2008 laufen. „Die Ziele kommen aus den Bereichen Atomenergie, Telekommunikation, IT, Luftfahrt und Forschung und Entwicklung“, ergänzte das Unternehmen.

Kaspersky konnte DarkPulsar der NSA zuordnen, da der Exploit aus einer Sammlung von Windows-Hackings-Tools stammt, die die Gruppe Shadow Brokers im April 2017 veröffentlicht hatte. In der Sammlung fand sich auch der Eternal Blue genannte Exploit, der maßgeblich für die Verbreitung von WannyCry, NotPetya und Bad Rabbit benutzt wurde – weswegen sich die Sicherheitsbranche vorrangig um ihn kümmerte.

Forscher von Kaspersky beschäftigten sich in den vergangenen Monaten jedoch intensiver mit den anderen Werkzeugen aus dem Shadow-Broker-Leak. Dazu gehörte FuzzBunch, ein Exploit-Framework, das unter anderem von der Equation Group, einer Offensiv-Einheit der NSA, eingesetzt wurde, um Schadsoftware zu verbreiten. DarkPulsar wiederum soll eine Malware sein, die per FuzzBunch implantiert wird.

DarkPulsar ist den Sicherheitsforschern zufolge in erster Linie eine Backdoor, die beliebigen Schadcode ausführen soll. Das soll der Code der Administrationsoberfläche von DarkPulsar nahelegen. Die von den Shadow Brokers veröffentlichten Unterlagen sollen jedoch nur besagte Oberfläche beschreiben. Erst eine genauere Analyse der Kaspersky-Forscher brachte auch die Backdoor-Funktion zu Tage und führte schließlich zur Identifikation der mindestens 50 infizierten Systeme.

Kaspersky entdeckte im Code von DarkPulsar aber auch eine Selbstzerstörungsfunktion. Sie sei wahrscheinlich von der Equation Group eingeführt worden, um nach der Veröffentlichung der Hacking-Tools durch die Shadow Brokers die eigenen Spuren zu verwischen. „Die 50 Opfer sind wahrscheinlich nur diejenigen, die die Angreifer einfach vergessen haben“, spekuliere die Forscher.

Unklar ist laut Kaspersky, wer tatsächlich hinter den Angriffen steckt. Die Forscher schließen nicht aus, dass sie von der Equation Group ausgeführt wurden. Es sei aber auch möglich, dass die Shadow Broker Details zur DarkPulsar-Backdoor bewusst nicht veröffentlicht hätten, um das Tool für eigene Zwecke zu benutzen.