Gamaredon, auch bekannt unter den Namen Primitive Bear, ACTINIUM und Shuckworm, ist in der Welt der Cyber-Spionage besonders für seine zielgerichteten Angriffe auf ukrainische Institutionen bekannt. Der ukrainische Sicherheitsdienst hat diese Gruppe mit dem russischen Bundesnachrichtendienst (FSB) in Verbindung gebracht. Im Unterschied zu vielen anderen Spionagegruppen, die eher im Verborgenen agieren, fallen die Aktionen der russischen Hacker*innen durch umfangreiche Kampagnen auf, die sich hauptsächlich gegen spezifische Ziele in der Ukraine richten.
Russische Hacker nutzen Hardware als Einfallstor
Im Zentrum der Operationen der Gruppe steht die LitterDrifter-Malware, ein Wurm, der in Visual Basic Script (VBS) entwickelt wurde. Er besitzt zwei Hauptfunktionen: die Verbreitung über USB-Laufwerke und das Einrichten von Befehls- und Kontrollkanälen (C2). Dieses Design deutet auf einen strategischen Ansatz hin, der auf eine weite Verbreitung durch physische Medien und die Aufrechterhaltung eines konstanten Zugangs zu infizierten Systemen für anhaltende Spionageaktivitäten abzielt.
LitterDrifter operiert Check Point zufolge über eine Orchestrierungskomponente, die irreführend „trash.dll“ genannt wird, obwohl es sich eigentlich um eine VBS-Datei handelt. Diese Komponente nutzen die russischen Hacker*innen, um die Beständigkeit der Malware in infizierten Systemen sicherzustellen.
Sie erreicht dies, indem sie versteckte Kopien von sich selbst erstellt und geplante Aufgaben und Starteinträge einrichtet, um einen ununterbrochenen Betrieb zu gewährleisten. Das Verbreitungsmodul der Malware konzentriert sich darauf, sich über Systeme hinweg zu replizieren. Dabei hat es insbesondere USB-Laufwerke im Visier, während das C2-Modul die Kommunikation mit den Angriffs-Servern sichert.
Weiterlesen: Aus Angst vor Spionage: Russland setzt bizarres Verbot durch
„Wurm“ überschreitet Grenzen
Obwohl Gamaredon sich hauptsächlich auf ukrainische Ziele konzentriert, gibt es Anzeichen dafür, dass sich LitterDrifter über seinen ursprünglichen Wirkungsbereich hinaus verbreitet hat. Infektionen haben die Expertinnen und Experten des Cyber-Sicherheitsunternehmens in verschiedenen Ländern beobachtet, darunter die USA, Vietnam, Chile, Polen, Deutschland und Hongkong. „All dies könnte darauf hindeuten, dass sich LitterDrifter, ähnlich wie andere USB-Würmer, über seine eigentlichen Ziele hinaus verbreitet hat“, so Check Point.
LitterDrifter verwendet komplexe Verschleierungstechniken, um seine Operationen zu verbergen und einer Entdeckung zu entgehen. Dazu gehören Kodierungsstrategien und die Verwendung irreführender Namen für Dateien und Prozesse. Die Ausführung der Malware umfasst verzögerte Aktionen und die Erstellung von trügerischen Verknüpfungen, die alle darauf ausgelegt sind, sich in legitime Systemprozesse einzufügen. Diese Taktiken zeigen den anspruchsvollen Ansatz, den Gamaredon verfolgt, um seine Stealth- und Effektivität in seinen Cyber-Spionageaktivitäten aufrechtzuerhalten.
Die Infrastruktur, die LitterDrifter unterstützt, spiegelt spezifische Muster wider, die mit den russischen Hacker*innen in Verbindung stehen. Die meisten von der Malware verwendeten Domains sind bei REGRU-RU registriert und verwenden typischerweise die Top-Level-Domain .ru. Die von LitterDrifter verwendeten C2-Server ändern regelmäßig ihre IP-Adressen. Diese Strategie zielt wahrscheinlich darauf ab, einer Entdeckung zu entgehen und die operationale Sicherheit aufrechtzuerhalten.
Quelle: Check Point
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.