Die russische Spionagegruppe Sofacy, auch bekannt unter Namen wie “Fancy Bear”, “Sednit”, “STRONTIUM” und “APT28”, attackiert vor allem Militär- und Regierungseinrichtungen, vorzugsweise in NATO-Ländern. In letzter Zeit seien auch Aktivitäten dieser Gruppe beobachtet worden, die auf die Ukraine zielen, berichtet das Sicherheitsunternehmen Kaspersky Lab in seinem Blog. Die Gruppe sei seit etwa 2008 aktiv, auch hierzulande kein Unbekannter , und seit 2014 auch öffentlich bekannt. Die Sofacy-Gruppe nutzt fortschrittliche Angriffswerkzeuge, die ihre Aktivitäten möglichst lange verbergen sollen. Sie setzt mehrere Backdoor-Programme ein, die eine gewisse Redundanz erzeugen. So gewährleisten sie, dass sie auch dann im Spiel bleiben, wenn eines ihrer Werkzeuge entdeckt und unschädlich gemacht wird. Dann sorgt ein anderes Malware-Tool für eine erneute Infektion. Die eingesetzte Malware ist modular aufgebaut – einzelne Funktionen sind auf verschiedene Module verteilt, um die Aktivitäten besser zu verbergen. Diese Taktik ist laut Kaspersky Lab in letzter Zeit bei zielgerichteten Angriffen recht beliebt. Rechner, die nicht am Netzwerk hängen, so genannte “Air-gapped” PCs, werden mit dem Tool USB-Stealer ausspioniert. Spionagegruppen passen ihre Angriffsmethoden meist an, sobald Sicherheitsforscher die Taktiken der Cyberspione veröffentlichen. Bei Sofacy ist das nicht immer der Fall. Die Gruppe ist seit mehreren Jahren aktiv und ihre Methoden werden regelmäßig durch Sicherheitsforscher bekannt gemacht. Bei ihrer jüngsten Angriffswelle haben die Spione die neueste Version ihres Backdoor-Programms “AZZY” nicht wie sonst über eine Zero-Day-Lücke eingeschleust. Vielmehr hat dies, ganz im Sinne der oben erwähnten Redundanz, ein anderes Malware-Implantat namens “msdeltemp.dll” erledigt. Dabei handelt es sich im einen Downloader, der dann komplexere Malware auf den Rechner laden kann. Wird Letztere entdeckt und unschädlich gemacht, haben die Täter mit msdeltemp.dll immer noch einen Fuß in der Tür. Sie können dann über ihren Steuerungs-Server ein neues Trojanisches Pferd auf den Rechner laden. Zum Schutz vor solchen komplexen Spionageangriffen, auch als APT (Advanced Persistent Threat) bezeichnet, bedarf es eines mehrschichtigen Sicherheitsansatzes. Neben klassischer Antivirus-Software gehören dazu ein Patch-Management, das für die Versorgung mit aktuellen Sicherheits-Updates sorgt, und moderne Intrusion-Detection-Lösungen (Erkennung von Eindringlingen). Hinzu sollten Whitelisting und eine Default-Deny-Strategie kommen, um nur die Ausführung bekannter Software zu erlauben und alle anderen Programme zu blockieren.
Sofacy APT hits high profile targets with updated toolset: https://t.co/9Nrv9iGksn via @Securelist
— David Emm (@emm_david) 4. Dezember 2015Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.