Der europäische Security-Software-Hersteller ESET veröffentlichte Details zu einem Spionage-Toolkit, das sensible Regierungsinformationen von mittel- und osteuropäischen Staaten ausspäht. Das so genannte SBDH Toolkit zielt darauf ab, Dateien von öffentlichen Einrichtungen zu stehlen, die mit Kooperationen und wirtschaftlichem Wachstum in Verbindung stehen.

2015 entdeckte und analysierte ESET mehrere Instanzen von Malware, die zur gezielten Spionage eingesetzt wurden. Besonders populär war das Cyber-Spionagewerkzeug SBDH. Leistungsfähige Filter, verschiedene Methoden der Kommunikation und eine interessante Persistenztechnik zielten darauf ab, ausgewählte Dateien von staatlichen und öffentlichen Institutionen abzufangen. Darunter waren Informationen die vor allem das Wirtschaftswachstum und die Zusammenarbeit in Mittel- und Osteuropa betrafen. ESETs SBDH-Analysen wurden während der Copenhagen Cybercrime Conference 2016 von den Forschern Tomáš Gardoň und Robert Lipovský präsentiert.

Das Cyber-Spionagewerkzeug – oder vielmehr der erste Teil davon – wurde als eine ausführbare Datei an eine Phishing-E-Mail angehangen. Bei normaler Windows-Einstellung werden bekannte Dateitypen ausgeblendet. Die Malware-Programmierer verliehen der ausführbaren Datei ein legitimes Aussehen, indem Icons von bekannten Windows-Programmen verwendet wurden.

Nach „erfolgreicher“ Ausführung des E-Mail Anhangs kontaktiert die Malware sogenannte Remote Locations um zwei Hauptkomponenten des Cyber-Spionagewerkzeugs herunterzuladen. Das sind ein Backdoor und ein Programm, welches Daten stehlen kann. Durch die Kombination dieser Module erlangen die Kriminellen nicht nur die volle Macht über den kompromittierten PC, sondern haben auch die Möglichkeit einer ausgefeilten Datenextraktionsmethode.

Dank mächtiger Filter kann der Eindringling in großem Umfang die Informationen extrahieren, nach denen er sucht. Gefiltert werden kann unter anderem nach Dateityp, Erstellungsdatum und Dateigröße. Über die Malware-Konfigurationsdatei können diese Filter angepasst werden. Da alle Komponenten des Cyber-Spionagewerkzeugs eine Verbindung zu einem Command & Control Server benötigen, ist die Malware stark Netzwerkabhängig.

Um die Chancen einer erfolgreichen Kompromittierung zu erhöhen, werden mehrere Verbindungsmethoden benutzt. Zu Beginn wird eine Verbindung via HTTP aufgebaut. Wenn das allerdings scheitert, versucht die SBDH-Malware über eine zweite Methode via SMTP mit freien externen Gatways zu kommunizieren.

Als letzten Ausweg, besitzt die Malware die Fähigkeit, über Infiltrierungen speziell gestalteter E-Mails in Microsoft Outlook Express zu kommunizieren. Auf diese Weise werden kompromittierte E-Mails vom E-Mail-Konto des aktuell angemeldeten Benutzers gesendet. Das erlaubt der Malware, Sicherheitsmaßnahmen zu umgehen (vorausgesetzt der Benutzer hat die Rechte, E-Mails zu senden und zu empfangen). Die schädlichen Nachrichten der Malware werden dann direkt im Postausgangsordner der Opfer abgelegt, um größere Aufmerksamkeit zu vermeiden.

Bei eingehender Kommunikation scannt das Cyber-Spionagewerkzeug den Posteingang des Opfers, um E-Mails mit spezifischem Betreff zu identifizieren. Relevante Mails werden aufgeteilt und auf Malware-Commands untersucht. Letztendlich werden die Betreffzeilen der analysierten E-Mails geändert, um eine weitere Prüfung der Malware auszuschließen.

Allerdings war die letzte Methode nur bis zum Jahr 2006 gebräuchlich, da Outlook Express durch die neuere Windows-Mail-Anwendung ersetzt wurde. Seitdem haben sich die Entwickler dieses Werkzeugs zunehmend auf die Verbesserung der HTTP-Kommunikation konzentriert und begonnen, die Kommunikation mit dem C & C-Server durch die Verwendung von gefälschte Bild-Dateien (JPG, GIF) besser zu tarnen.

Im Falle der Unerreichbarkeit des C & C-Servers hält das Backdoor-Modul noch eine andere “Backup-Lösung” bereit. Eine feste URL zeigt auf ein gefälschtes Bild (das auf einer kostenlosen Blog-Webseite gehostet ist), das die Adresse eines alternativen C & C-Server beinhaltet.

Einige der analysierten Beispiele dieses Moduls haben eine interessante Persistenzmethode implementiert. Die Malware ersetzte den Handler für Word-Dokumente. Auf diese Weise wird jedes Mal, wenn das kompromittierte System versucht ein Word-Dokument zu öffnen, stattdessen die Malware automatisch ausgeführt.

Das Cyber-Spionagewerkzeug SBDH benutzt ähnliche Methoden wie die Malware in Operation Buhtrap. Das zeigt einmal mehr, dass auch professionelle Malware durch einfache Wege, wie schädliche E-Mail-Anhänge verbreitet werden. Dem Risiko einer solchen Kompromittierung kann durch geschultes Personal und einer proaktiven Sicherheitslösung entgangen werden.

Hier geht es zum dem Bericht mit Screenshots von ESET.