Die Crutch-Kampagne war offenbar auf sehr spezifische Ziele zugeschnitten und darauf ausgereichtet, vor allem sensible Dokumente zu erbeuten. Welches Außenministerium genau betroffen war, haben die Sicherheitsforscher von ESET nicht veröffentlicht, daher ist nur bekannt, dass es sich um ein Land der Europäischen Union handelt. Bevor Crutch zum Einsatz kam, erfolgte den Analysen zufolge bereits eine Infektion mit einer anderen Malware. Das geschah vermutlich mittels Spearphishing-Angriff, also einer ganz gezielten Phishing-Kampagne. Erst im zweiten Schritt wurde Crutch nachgeladen. Seither kommuniziert die Malware mit einem codierten Konto beim Filehosting-Dienst Dropbox und lädt darüber regelmäßig sensible Daten herunter. Dieses Vorgehen ist überaus geschickt, da die Verbindung mit dem Dropbox-Konto im normalen Datenverkehr untergeht und dadurch unter dem Radar bleibt. Außerdem ergab die Untersuchung, dass der Angriff durch wiederverwendete Administratoren-Passwörter begünstigt wurde.
Weitere Analysen haben außerdem gezeigt, dass Crutch im Laufe der Jahre immer wieder aktualisiert und angepasst wurde, um weiter effektiv laufen zu können und die Tarnung aufrecht zu erhalten. Weiterhin betonen die Sicherheitsforscher, dass die Hintermänner der Kampagne offenbar über beträchtliche Ressourcen verfügen. Das stärkt auch die Einschätzung von ESET, dass hinter Crutch die russische Hackergruppe Turla steckt. Diese zeichnete sich bereits für ähnliche Angriffe verantwortlich. Bei Gazer etwa handelte es sich ebenfalls um einen Backdoor-Angriff, der Konsulate und Botschaften weltweit ins Visier nahm. Darüber hinaus fanden die Sicherheitsforscher heraus, dass die Arbeitszeiten der Macher offenbar genau zur Zeitzone UTC+3 passen, also der Zone, in der Moskau liegt.
Obwohl Turla aktuell nur regierungsnahe Organisationen anzugreifen scheint, sollten sich Unternehmen nicht in Sicherheit wiegen. Denn ist eine Malware erstmal entdeckt, ist es nur eine Frage der Zeit, bis auch andere Hackergruppen eine ähnlich funktionierende Malware einsetzen. Doch davor kann man sich schützen – und das sogar mit relativ einfachen Mitteln, wie die Sicherheitsforscher in ihrer Analyse betonen. Dazu gehören zum Beispiel die Nutzung von unterschiedlichen, komplexen Passwörtern und einer Mehrfaktor-Authentifizierung. Darüber hinaus sollten normale Nutzer nicht mit Admin-Rechten ausgestattet werden, damit sich eine Malware nicht einfach im Hintergrund installieren kann.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
