Der IT-Sicherheitshersteller ESET hat zwei bisher unbekannte Backdoors namens LunarWeb und LunarMail entdeckt, die ein europäisches Außenministerium und dessen diplomatische Vertretungen im Ausland, vor allem im Nahen Osten, kompromittieren. ESET schätzt, dass das Lunar-Toolset seit mindestens 2020 im Einsatz ist.
Aufgrund der Ähnlichkeiten der Taktiken, Techniken und Vorgehensweisen mit früheren Aktivitäten gehen die Malware-Experten davon aus, dass die Hackergruppe Turla dahintersteckt. Diese gilt als mit Russland verbündet und betreibt Cyberspionage.
Malware breitete sich in diplomatischen Vertretungen aus
Die ESET-Forscher stießen zum ersten Mal auf die Malware, als sie auf einem nicht identifizierten Server einen Loader fanden. Dabei handelt es sich um eine Software, die Systeme infizieren und danach Malware installieren kann. Dieser Loader führte die Forscher zu einer bis dato unbekannten Backdoor, der sie den Namen LunarWeb gaben. Eine ähnliche Verkettung schadhaften Codes fanden die Forscher in einer diplomatischen Mission. Bei den Angriffen kam eine zweite Backdoor zum Einsatz, LunarMail.
LunarWeb wurde bei einem Angriff in drei diplomatischen Vertretungen eines europäischen Landes im Nahen Osten installiert – und das innerhalb weniger Minuten. Zuvor hatten die Angreifer offenbar Zugriff auf den Domänencontroller des Außenministeriums erhalten, einen wichtigen Server mit weitreichenden Rechten in Computer-Netzwerken. Diesen Server nutzten die Hacker, um sich im Netzwerk zu bewegen und weitere Computer zu infizieren.
LunarWeb und LunarMail: Schadcode mit raffinierter Camouflage
LunarWeb wird auf Servern eingesetzt, verwendet HTTP(S) für seine C&C-Kommunikation (Command&Control) und ahmt legitime Anfragen nach. LunarMail arbeitet auf Workstations als Outlook-Add-In und verwendet E-Mail-Nachrichten für seine C&C-Kommunikation. Beide Backdoors nutzen die sogenannte Steganografie, bei der Befehle in Bildern versteckt werden, um einer Entdeckung zu entgehen. Ihre Loader können in verschiedenen Formen existieren, einschließlich trojanisierter Open-Source-Software, was die fortgeschrittenen Techniken der Angreifer verdeutlicht.
“Wir haben bei den Kompromittierungen einen unterschiedlichen Grad an Raffinesse beobachtet. Zum Beispiel geht die Installation auf dem kompromittierten Server sehr sorgfältig vonstatten, um ein Scannen durch Sicherheitssoftware zu vermeiden. Im Gegensatz dazu enthält die Backdoor Codierungsfehler und unterschiedlichen Codierungsstile. Dies deutet darauf hin, dass wahrscheinlich mehrere Personen an der Entwicklung und dem Betrieb dieser Tools beteiligt waren”, sagt ESET-Forscher Filip Jurčacko, der das Lunar-Toolset entdeckt hat.
Menschliche Fehler waren Eintrittskarte ins Netzwerk
Die erste Kompromittierung erfolgte möglicherweise über Spearphishing und den Missbrauch der falsch konfigurierten Netzwerk- und Anwendungsüberwachungssoftware Zabbix. Darauf lassen die von den ESET-Forschern gefundenen Komponenten und die Aktivitäten der Angreifer schließen. Darüber hinaus hatte der Angreifer bereits Netzwerkzugang, nutzte gestohlene Anmeldeinformationen für Seitwärtsbewegungen im Netzwerk und unternahm sorgfältige Schritte, um den Server zu kompromittieren, ohne Verdacht zu erregen. Bei einem anderen Angriff fanden die Forscher ein älteres bösartiges Word-Dokument, das wahrscheinlich aus einer Spearphishing-E-Mail stammte.
Backdoors mit unterschiedlichen Funktionen und Zielen
LunarWeb sammelt und exfiltriert Informationen aus dem System. Dazu gehören z. B. Computer- und Betriebssysteminformationen sowie Listender laufenden Prozesse, Dienste und der installierten Sicherheitsprodukte. LunarWeb unterstützt gängige Backdoor-Funktionen, einschließlich Datei- und Prozessoperationen sowie die Ausführung von Shell-Befehlen.
Die LunarMail-Backdoor sammelt bei der ersten Ausführung Informationen aus den gesendeten E-Mail-Nachrichten, beispielsweise die E-Mail-Adresse. Was die Befehlsmöglichkeiten angeht, so ist LunarMail einfacher und verfügt über eine kleinere Menge an Befehlen als LunarWeb. Die Backdoor kann eine Datei schreiben, einen neuen Prozess sowie Screenshots erstellen und die E-Mail-Adresse der C&C-Kommunikation ändern.
Beide Backdoors haben die ungewöhnliche Fähigkeit, Lua-Skripte auszuführen, einer speziellen Programmiersprache, die für ihre geringe Größe, Erweiterbarkeit und Geschwindigkeit bekannt ist.
Über Turla alias Snake
Turla, auch bekannt als Snake, ist seit mindestens 2004 aktiv, möglicherweise sogar schon seit den späten 1990er Jahren. Vermutlich gehört Turla zum russischen Geheimdienst FSB und hauptsächlich auf hochrangige Einrichtungen wie Regierungen und diplomatische Organisationen in Europa, Zentralasien und dem Nahen Osten abzielt. Die Gruppe ist berüchtigt dafür, dass sie bereits in große Organisationen eingedrungen ist. Prominente Beispiele sind das US-Verteidigungsministerium im Jahr 2008 und das Schweizer Verteidigungsunternehmen RUAG im Jahr 2014.
Weitere technische Informationen über das Lunar-Toolset finden Sie im Blogpost “To the Moon and back(doors): Lunar landing in diplomatic missions”.
(vp/ESET Deutschland GmbH)