Dtrack: Neues Spionage-Tool greift Finanzinstitute und Forschungszentren an

Berüchtigte „Lazarus“-Gruppe meldet sich offenbar zurück

[datensicherheit.de, 23.09.2019] Hauseigene Sicherheitsexperten haben nach Angaben von kaspersky „ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde“. Diese Spyware – „Dtrack“ – stamme wohl von der „Lazarus“-Gruppe und werde zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges „Remote Admin Tool“ (RAT) typisch seien.

Funktionen der Dtrack-Malware weisen sie als Spionagetool aus

Im Jahr 2018 haben demnach kaspersky-Forscher die Malware „ATMDtrack“ entdeckt, welche Geldautomaten in Indien infiltriert und Karteninformationen von Kunden gestohlen habe. Nach weiteren Untersuchungen mit der „Kaspersky Attribution Engine“ und anderen Tools hätten die Forscher mehr als 180 neue Malware-Samples gefunden, deren Codesequenz Ähnlichkeiten mit „ATMDtrack“ aufgewiesen habe.
Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen wiesen die Funktionen der „Dtrack“-Malware sie als Spionagetool aus. Beide hätten Gemeinsamkeiten mit der Kampagne „DarkSeoul“ aus dem Jahr 2013, die „Lazarus“ zugeschrieben werde. Bei „Lazarus“ handelt es sich laut kaspersky um „eine berüchtigte Gruppe, die für mehrere Cyber-Spionage- und Cyber-Sabotageoperationen verantwortlich sein soll“.

Dtrack nutzt Sicherheitsschwächen der Opfer aus

„Dtrack“ könne als Fernwartungstool (RAT) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangten. Cyber-Kriminelle könnten damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.
Von Bedrohungsakteuren mit „Dtrack“-RAT angegriffene Organisationen wiesen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem seien sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung könne die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.

Angriffe zielen auch darauf ab, Geld zu stehlen

Basierend auf den Daten der kaspersky-Telemetrie sei die neuentdeckte Malware aktiv und werde noch für Cyber-Angriffe verwendet. „Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, sagt Konstantin Zykov, Sicherheitsforscher des „Global Research und Analysis“-Teams bei kaspersky. Einerseits konzentriere sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyber-Spionage- oder -sabotageoperationen. Andererseits sei auch festgestellt worden, dass sie Angriffe durchführe, die eindeutig darauf abzielten, Geld zu stehlen. Letzteres sei für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen hätten.
Zykov führt aus: „Die zahlreichen ,Dtrack‘-Samples, die wir gefunden haben, zeigen, dass ,Lazarus‘ eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von ,Dtrack‘-RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen.“ Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten, rät Zykov.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 23.09.2019
Hello! My name is Dtrack

kaspersky SECURELIST, Juan Andrés Guerrero-Saade u. Costin Raiu (GReAT), 14.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns

datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert