Hackergruppe Turla 09.05.2019, 07:11 Uhr

Lauschangriff auf Exchange-Server

Der IT-Security-Spezialist Eset hat Angriffe der Hackergruppe Turla auf diplomatische Einrichtungen und Ministerien in Europa und dem Nahen Osten enttarnt. Die Cyberspione benutzten dazu die Backdoor LightNeuron in Microsofts Exchange-Server.
(Quelle: Archiv CW )
Forscher des slowakischen IT-Security-Anbieters Eset haben ein neues Spionageprogramm entdeckt, das sich auf die Cyberspionage-Gruppe Turla (auch Snake oder Uroburos genannt) zurückführen lässt. Im aktuellen Fall handelt es sich demnach um eine neuartige Backdoor namens LightNeuron, die es als Advanced Persistent Threat (APT) auf Microsoft-Exchange-Server abgesehen hat. Sie missbraucht als erstes bekanntes Schadprogramm den Exchange-Transport-Agenten.

Mails lassen sich mitlesen

Hierdurch könne die Hackergruppe Turla jede über den Server laufende E-Mail mitlesen, modifizieren oder blocken, berichten die Virenjäger von Eset. Es können sogar Nachrichten im Namen legitimer Nutzer verschickt werden. Bisher ist laut den Sicherheitsexperten bekannt, dass die Backdoor gegen Ziele in Europa, im Nahen Osten und in Brasilien eingesetzt wurde. Alle Einzelheiten haben die Eset-Forscher in einem Whitepaper zusammengefasst, das auf der Eset-eigenen Webseite «WeLiveSecurity» erhältlich ist.
«Früher waren Kernel-Rootkits für erfolgreiche APTs ein probates Mittel. Diese haben aber durch die Verbesserung der Sicherheitsarchitektur in Betriebssystemen an Bedeutung verloren. Backdoors wie LightNeuron könnten diese Lücke füllen und zum heiligen Gral der Cyberkriminellen werden», erklärt Thomas Uhlemann, Security-Spezialist bei Eset. «Mit der neuen Malware ergaunert sich Turla umfangreiche Zugriffsrechte auf Exchange Server und übernimmt so die volle Kontrolle über die gesamte E-Mail-Kommunikation der attackierten Organisation», führt er weiter aus.

Backdoor seit 2014 aktiv

Den Analysen von Eset zufolge ist die Backdoor seit 2014 aktiv. Neuartig sei an diesem Spionageprogramm, dass in Microsoft Exchange ein schädlicher Transport Agent eingerichtet werde, heisst es. Einmal installiert, verarbeitet dieser sämtliche ein- und ausgehenden E-Mails. Transport Agents werden sonst zum Beispiel als Spam-Filter genutzt.
Die meiste Aktivität der Turla-Gruppe wird zwischen 6 und 14 Uhr Weltzeit (UTC) beobachtet, was sich gut mit einem «Nine to five»-Job in der Zeitzone «UTC+3» deckt
(Quelle: Eset)
Um Kommandos an das Spionageprogramm zu geben, nutzen die Kriminellen laut Eset manipulierte E-Mails mit PDF- und JPG-Dateien als Anhang. In diesen Dateien wurde mithilfe steganographischer Techniken verborgene Befehle eingebettet.
Turla sei eine der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung, berichtet die Eset. Die Gruppe konzentriert sich demnach hauptsächlich auf hochkarätige Ziele wie Regierungen, Wirtschaftsunternehmen sowie diplomatische Einrichtungen in Europa, Zentralasien und dem Nahen Osten.

Ruag unter den Opfern

Wichtige Organisationen wie das das Auswärtige Amt der Bundesrepublik Deutschland, das US-Verteidigungsministerium, das Schweizer Rüstungsunternehmen Ruag oder die französische Armee seien von der Turla-Hackergruppe bereits erfolgreich infiltriert worden, heisst es in einer Mitteilung von Eset.
Mit LightNeuron haben es die Cyberspione derzeit offensichtlich auf Aussenministerien und diplomatische Vertretungen in Osteuropa und dem Nahen Osten abgesehen. Ob es noch weitere Ziele gibt, ist gemäss den Eset-Forschern derzeit unklar. Eine Ausweitung der Kampagne auf Westeuropa sei für die Turla-Spionagegruppe allerdings technologisch unproblematisch, so die Einschätzung der Security-Spezialisten.



Das könnte Sie auch interessieren