Wechseldatenträger als Waffe: Cyber-Spione attackieren Air Gap-geschützte Netzwerke

Sednit nutzt Malware auf USB-Sticks für Angriffe auf isolierte Computer

publiziert: Montag, 17. Nov 2014 / 21:58 Uhr / aktualisiert: Montag, 17. Nov 2014 / 23:51 Uhr
In letzter Zeit sind die Cyber-Spione der Sednit-Gruppe durch mehrere gezielte Spionageaktionen aufgefallen.
In letzter Zeit sind die Cyber-Spione der Sednit-Gruppe durch mehrere gezielte Spionageaktionen aufgefallen.

Jena - Forscher des IT-Sicherheitsspezialisten ESET haben eine perfide Angriffstechnik der Sednit-Cyber-Spionagegruppe aufgedeckt. Erst vor einem Monat hatten ESET-Experten auf darüber berichtet, das Sednit massgeschneiderte Exploit Kits für Angriffe auf verschiedene Institutionen in Osteuropa einsetzt.

1 Meldung im Zusammenhang
Jetzt warnen sie vor Win32/USBStealer, einem Tool, mit dem die Cyber-Kriminellen auch Rechner angreifen können, die nicht mit dem Internet verbunden sind. Das erlaubt der Gruppe wirksame Angriffe auf Computer und Netzwerke, die physisch völlig isoliert sind.

Die Verbreitung erfolgt über Wechseldatenträger. Win32/USBStealer macht Computer angreifbar, die mittels einer so genannten «Air Gap» von der Aussenwelt isoliert sind. Das Ziel der Kriminellen sind in der Regel bestimmte Dateien, die ganz gezielt angegriffen werden. Nach Einschätzung von ESET bedient sich Sednit bereits seit etwa zehn Jahren dieses Tools - mit unterschiedlichem Komplexitätsgrad.

Ausbreitung über USB-Stick

Zunächst wird ein, mit dem Internet verbundener, Computer mit dem Win32/USB Stealer Dropper infiziert, bevor dann die Ausbreitung auf den isolierten Computer durch den USB-Stick erfolgt. «Der zuerst infizierte Computer versucht, ein legales russisches Programm namens USB Disk Security zu imitieren, um das Einlegen von Wechseldatenträgern zu überwachen», erklärt Joan Calvet, Sicherheitsforscher bei ESET.

Wenn der USB-Stick dann mit dem Rechner verbunden ist, entschlüsselt der Dropper zwei der Ressourcen im Speicher. Die erste legt das Programm Win32/USBStealer im Wechseldatenträger unter dem Namen «USBGuard.exe» ab. Die zweite Ressource ist eine AUTORUN.INF-Datei. Wenn der infizierte USB Stick mit aktiviertem AutoRun mit dem Zielrechner verbunden ist, kann sich Win32/USBStealer hier installieren und verschiedene Schritte ausführen. Diese erlauben ihm den Zugang zu spezifischen Dateien auf einen Computer in einem durch Air Gap isolierten Netzwerk.

In letzter Zeit sind die Cyber-Spione der Sednit-Gruppe durch mehrere gezielte Spionageaktionen aufgefallen. Im Oktober 2014 hatte ESET aufgedeckt, dass die Sednit Gruppe so genannte Watering-Hole-Angriffe mittels eines massgeschneiderten Exploit Kits ausgeführt hatte.

 

(fest/pte)

Lesen Sie hier mehr zum Thema
Traverse City/Atlanta - Falsche Meldungen von Anti-Virus-Programmen kosten ... mehr lesen
Ein Virus ist oft teuer und zeitintensiv.
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Die meisten Überwachungsmassnahmen wurden zur Aufklärung von Vermögensdelikten angeordnet.
Die meisten Überwachungsmassnahmen wurden zur ...
Statistik zur Fernmeldeüberwachung  Die Statistik der Schweizer Strafverfolgungsbehörden und des Nachrichtendiensts des Bundes (NDB) weist im letzten Jahr acht Prozent weniger Überwachungsmassnahmen auf. Dieser Rückgang ist aber grösstenteils auf die gesunkene Anzahl der Antennensuchläufe zurückzuführen. mehr lesen 
Um der steigenden Verbreitung manipulierter Inhalte entgegenzuwirken, haben sich Google, Meta und OpenAI der C2PA angeschlossen. Ihr Ziel ... mehr lesen  
Berühmtes Deepfake: Papst Franziskus in fetter Daunenjacke.
Publinews Die Paysafecard ist ein elektronisches Zahlungsmittel, das auf dem Prepaid-Prinzip basiert. Es ermöglicht Nutzern, online sicher und anonym zu bezahlen, ohne persönliche oder finanzielle Informationen preiszugeben. Doch wie funktioniert das System? In diesem Artikel erläutern wir die Vorteile einer Paysafecard und zeigen die grundlegenden Schritte, wie die Paysafecard funktioniert. mehr lesen  
Publinews Die Zeit von 123456 als populärstem Passwort scheint vorbei zu sein. Laut der 2023er Umfrage von Bitkom verwenden drei Viertel von Deutschlands Internetnutzern komplexe Passwörter. Die Sicherung des Kontos durch einen zweiten Faktor ist hingegen immer noch Ausnahme. mehr lesen  
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
Source: http://www.news.ch/ajax/top5.aspx?ID=861&col=COL_2_1
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Mi Do
Zürich 16°C 26°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig gewitterhaft wolkig, aber kaum Regen
Basel 16°C 27°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig gewitterhaft recht sonnig
St. Gallen 13°C 24°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig gewitterhaft vereinzelte Gewitter
Bern 14°C 26°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig gewitterhaft vereinzelte Gewitter
Luzern 16°C 26°C freundlichleicht bewölkt, ueberwiegend sonnig gewitterhaft wolkig, aber kaum Regen
Genf 16°C 26°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig gewitterhaft recht sonnig
Lugano 17°C 24°C gewitterhaftleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen freundlich
mehr Wetter von über 8 Millionen Orten