Spionagegruppe Turla war wieder aktiv

Die bekannte APT-Gruppe Turla war wieder aktiv. ESET-Forscher haben entdeckt, dass sich die Hacker Zugriff auf das Netzwerk eines Außenministeriums eines EU-Staates verschafft haben.

Zum Einsatz kam dabei ein raffiniertes Spionageprogrammnamens Crutch. Die Malware ist eine Backdoor und dient zum Diebstahl von sensiblen Dokumenten. Die Sicherheitsexperten des europäischen IT-Sicherheitshersteller fanden zahlreiche Indizien, die auf die Turla-Gruppe als Drahtzieher hindeutet. Der spezielle Einsatzort untermauert den Verdacht, dass Crutch nur gegen ganz bestimmte hochkarätige Ziele eingesetzt wird. Aufgabe des Spionageprogramms ist das Herausschleusen sensibler Dokumente und andere Dateien auf Dropbox-Konten, die von den Hackern kontrolliert werden. 

Anzeige

“Die Hauptaufgrabe von Crutch ist die Exfiltration sensibler Informationen der jeweiligen Organisation. Aufgrund der Raffinesse und der technischen Details gehen wir davon aus, dass die Turla-Gruppe hinter den Angriffen steckt”, erklärt Matthieu Faou, einer der beteiligten ESET-Forscher. “Darüber hinaus ist das Spionageprogramm in der Lage, einige Sicherheitssysteme zu umgehen. Die Hacker missbrauchen eine legitime Infrastruktur, in diesem Fall Dropbox, um sich in den normalen Netzwerkverkehr einzufügen. So können unbemerkt Dokumente herausgeschleust und neue Befehle von den Betreibern eingegeben werden.”

Aktivität der Crutch-Malware

Um die Aktivitäten des Spionageprogramms nachvollziehen zu können, haben die ESET-Forscher überprüft, wann Zip-Dateien auf die Dropbox-Konten hochgeladen wurde. Die Grafik zeigt, dass Crutch dann am aktivsten war, wenn auch in der Zielorganisation während der allgemeinen Arbeitszeiten der höchste Netzwerkverkehr entstand. So war eine Entdeckung schwieriger.

Wer ist Turla?

Turla ist seit mehr als 10 Jahren eine aktive Cyber-Spionagegruppe. Die APT-Gruppe hat viele Regierungen, insbesondere diplomatische Einrichtungen, auf der ganzen Welt kompromittiert und betreibt ein großes Malware-Arsenal, das ESET in den letzten Jahren dokumentiert hat.

Anzeige

Die detaillierte Ananlyse gibt es hier zum Nachlesen.

www.eset.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.