Auf der Suche nach dem APT-Urknall: 20 Jahre alte Attacke immer noch relevant

Die Equation Group gilt als einer der ersten Cyberspionage-Akteure. Sollten sich allerdings neue Untersuchungsergebnisse von Kaspersky Lab [1] erhärten, könnte eine mögliche Verbindung der 1990er-Kampagne Moonlight Maze zur Turla-Gruppe auf einen modernen APT-Akteur hindeuten, der der Equation Group [2] in punkto Langlebigkeit in nichts nachsteht.

Auf der Suche nach einer Verbindung zwischen einem modernen Bedrohungsakteur und den Moonlight-Maze-Attacken auf das Pentagon und die NASA in den späten 1990ern hat Kaspersky Lab zusammen mit Forschern des Kings College London Malware-Samples, Log-Dateien und Artefakte einer historischen APT (Advanced Persistent Threat) entdeckt. Die Untersuchungsergebnisse zeigen: ein von Moonlight Maze seit 1998 für die Exfiltration von Informationen – also für die Übertragung spionierter Daten aus dem Unternehmensnetzwerk heraus – verwendetes Backdoor-Programm weist Verbindungen zu einem Backdoor auf, das von der Turla-Gruppe [3] im Jahr 2011 und möglichweise sogar noch im Jahr 2017 eingesetzt wurde. Sollte sich der Verdacht der Verbindung zwischen Turla und Moonlight Maze erhärten, würde das diesen Bedrohungsakteur hinsichtlich Langlebigkeit auf eine Stufe mit der Equation Group stellen, deren eingesetzte Command-and-Control-Server ebenfalls zum Teil bis ins Jahr 1996 zurückzuverfolgen sind.

Damalige Berichte über Moonlight Maze zeigen, dass ab 1996 Systemeinbrüche in den USA in Militär- und Regierungsnetzwerken, Universitäten, Forschungsinstituten sowie die Energiebehörde (Department of Energy) entdeckt wurden. Im Jahr 1998 starteten das FBI und das Verteidigungsministerium der Vereinigten Staaten eine intenisve Untersuchung. Die Geschichte wurde im Jahr 1999 öffentlich, aber viele Details blieben im Verborgenen – Moonlight Maze umhüllten Mythos und Geheimhaltung.

Über die Jahre haben Ermittlungsbehörden aus drei verschiedenen Ländern gemutmaßt, dass aus Moonlight Maze Turla hervorging, ein russischsprachiger Bedrohungsakteur, der auch unter den Namen Snake, Uroburos, Venomous Bear und Krypton bekannt ist. Von Turla wird allgemein angenommen, dass es seit 2007 aktiv ist.

„In den späten 1990er Jahren hatte keiner die Reichweite und Ausdauer einer koordinierten Cyberspionagekampagne vorhergesehen“, so Juan Andres Guerrero-Saade, Senior Security

Researcher im Forschungs- und Analyse-Team bei Kaspersky Lab. „Wir müssen uns selbst fragen, warum Angreifer noch immer erfolgreich alten Code in modernen Attacken einsetzen können. Die Analyse der Moonlight-Maze-Samples ist nicht nur ein Stück faszinierende IT-Archäologie; sie ist auch eine Mahnung, dass finanziell sehr gut ausgestattete Angreifer nicht einfach verschwinden.“

Moonlight Maze: Analyse der Original-Samples

Im Jahr 2016 machte Thomas Rid vom Kings College London – bei Recherchearbeiten für sein Buch „Rise of the Machines“ – einen ehemaligen Systemadministrator ausfindig, bei dessen damaliger Organisation Server von den Moonlight-Maze-Angreifern als Proxy übernommen wurden. Der Server (HRTest) wurde für die Durchführung von Attacken gegen die USA eingesetzt. Der mittlerweile pensionierte IT-Administrator hat den Original-Server sowie Kopien von allem, was mit der Attacke in Verbindung stand, aufbewahrt.

Die Kaspersky-Forscher Juan Andres Guerrero-Saade und Costin Raiu haben zusammen mit Thomas Rid und Danny Moore vom Kings College eine neun Monate andauernde, detaillierte technische Analyse der Samples vorgenommen. So konnten sie die Operationen, Werkzeuge und Techniken der Angreifer rekonstruieren und zeitgleich eine Untersuchung zu möglichen Verbindungen mit Turla durchführen.

Bei Moonlight Maze handelt es sich um eine auf Open-Source-Unix-basierte Attacke, die das System Solaris im Visier hatte. Die Untersuchungen ergaben, dass dabei ein Backdoor auf Basis von LOKI2 zum Einsatz kam. LOKI2 war ein im Jahr 1996 veröffentlichtes Programm, mit dem Nutzer Daten über verdeckte Kanäle herausfiltern können. Ein zweiter Blick auf einige rare Linux-Samples, die von Turla genutzt und von Kaspersky Lab im Jahr 2014 entdeckt wurden, offenbarte, dass es sich hierbei um Penquin Turla [3] handelt, dessen Samples auch auf LOKI2 basierten. Darüber hinaus zeigte die Neu-Analyse, dass alle Code beinhalteten, der zwischen 1999 und 2004 erstellt wurde. 

Alter Code bei Turla-Attacke auf Schweizer Unternehmen verwendet

Auffallend ist, dass dieser Code noch immer bei Attacken genutzt wird, beispielsweise bei einer Attacke im Jahr 2011 auf das Rüstungsunternehmen Ruag in der Schweiz [4], die Turla zugeschrieben werden konnte. Im März 2017 haben die Experten von Kaspersky Lab ein neues Sample des Penquin-Turla-Backdoor gefunden, das von einem System in Deutschland aus hochgeladen wurde. Es ist möglich, dass Turla alten Code für Attacken auf hoch gesicherte Organisationen verwendet, die mit dem Standard-Windows-Toolset von Turla nur schwer zu knacken sind.

Die neu aufgedeckten Moonlight-Maze-Dateien zeigen viele faszinierende Details darüber, wie die Angriffe mittels eines komplexen Proxy-Netzwerks sowie hochentwickelten Fähigkeiten und Werkzeuge ausgeführt wurden.

Weitere Informationen zu der Angriffssequenz und der Typologie finden sich hier im folgenden Video: https://youtu.be/9RorL9y70GU

Details der Untersuchung zu Moonlight-Maze-Turla können unter https://securelist.com/blog/sas/77883/penquins-moonlit-maze abgerufen werden.

Die Lösungen von Kaspersky Lab entdecken und blockieren erfolgreich Malware, die von Moonlight Maze und Penquin Turla verwendet wird.

Details zu den Cupboard-Sample-Logs und -Scripts sowie den Kompromittierungsindikatoren (Indicators of Compromise, IOC) und Hashes finden sich in einem PDF-Dokument, das unter https://securelist.com/blog/sas/77883/penquins-moonlit-maze zu finden ist. Umfassende Security Intelligence zu den neuesten Bedrohungen und Bedrohungsakteuren ist für Kunden des Kaspersky Lab APT Intelligence Reporting Service unter https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting verfügbar.

_{[1] https://securelist.com/blog/sas/77883/penquins-moonlit-maze}

_{[2] http://newsroom.kaspersky.eu/de/texte/detail/article/equation-group-die-mutter-der-cyber-spionage/ oder https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/}

_{[3] https://securelist.com/blog/research/67962/the-penquin-turla-2/}

_{[4] https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag.html}