Tausende ICS-Computer weltweit von neuer Spyware-Kampagne betroffen

Von Mitte Januar bis Mitte November 2021 beobachteten Kaspersky-Experten eine neue Malware, die mehr als 35.000 Computer in 195 Ländern befallen hat [1]. Die Malware ‚PseudoManuscrypt‘ weist Ähnlichkeiten zur ‚Manuscrypt‘-Malware der Advanced Persistent Threat (APT)-Gruppe Lazarus auf. Sie verfügt über fortschrittliche Spionagefunktionen und wurde bisher bei Angriffen auf Regierungsorganisationen und industrielle Kontrollsysteme (ICS) entdeckt.

Industrieunternehmen gehören zu den begehrtesten Zielen von Cyberkriminellen – sowohl aus finanziellen Gründen als auch weil sie viele Informationen zu bieten haben. So zeigten dieses Jahr APT-Gruppen wie Lazarus und APT41 [2] reges Interesse an Industrieunternehmen. Bei der Untersuchung einer Reihe von Angriffen fanden die Experten von Kaspersky eine neue Malware, die gewisse Ähnlichkeiten mit der Malware Manuscrypt von Lazarus aufweist, die im Rahmen der ThreatNeedle-Kampagne [3] dieser Gruppe gegen die Verteidigungsindustrie eingesetzt wurde. Der Name PseudoManuscrypt basiert deshalb auf der Ähnlichkeit der beiden Kampagnen.

Infizierung mit PseudoManuscrypt

PseudoManuscrypt wird zunächst über gefälschte Installationsarchive für raubkopierte Software auf die Systeme der Zielpersonen heruntergeladen, von denen einige für ICS-spezifische Raubkopien bestimmt sind. Diese gefälschten Installationsprogramme werden wohl über eine Malware-as-a-Service-Plattform (MaaS) angeboten, allerdings wurde in einigen Fällen PseudoManuscrypt auch über das berüchtigte Glupteba-Botnet [4] installiert. Nach der Erstinfektion folgt eine komplizierte Infektionskette, über die vermutlich dann das schädliche Hauptmodul heruntergeladen wird.

Die Kaspersky-Experten konnten zwei Varianten dieses Moduls identifizieren, die beide über fortschrittliche Spyware-Funktionen verfügen – einschließlich der Protokollierung von Tastatureingaben, dem Kopieren von Daten aus der Zwischenablage, dem Diebstahl von VPN- (und möglicherweise RDP-) Authentifizierungs- und Verbindungsdaten sowie dem Kopieren von Screenshots.

Industrie im Visier

Kaspersky-Produkte blockierten PseudoManuscrypt zwischen dem 20. Januar und dem 10. November 2021 auf mehr als 35.000 Computern in 195 Ländern. Viele der Ziele waren Industrie- und Regierungsorganisationen, einschließlich militärisch-industrieller Unternehmen und Forschungslabors. 7,2 Prozent der angegriffenen Computer waren Teil industrieller Kontrollsysteme (ICS), wobei die Branchen Maschinenbau und Gebäudeautomatisierung am stärksten betroffenen waren. 1,6 Prozent der kompromittierten ICS-Computer und 2,2 Prozent der befallenen sonstigen Rechner befanden sich in Deutschland. Die Angriffe zeigen keine Präferenz für bestimmte Branchen, doch die große Zahl der betroffenen technischen Computer, darunter Systeme, die für 3D- und physische Modellierung und digitale Zwillinge verwendet werden, lässt vermuten, dass Industriespionage ein Ziel sein könnte.  

Seltsam ist, dass einige der Betroffenen Verbindungen zu den Betroffenen der Lazarus-Kampagne haben, über die Kasperskys ICS CERT bereits berichtet hat [5]. Die Daten werden über ein seltenes Protokoll, das eine Bibliothek verwendet, die bisher nur bei der Malware von APT41 zum Einsatz kam, an den Server der Angreifer gesendet. Angesichts der großen Zahl an Betroffenen und dem Fehlen eines eindeutigen Fokus bringt Kaspersky die Kampagne jedoch nicht mit Lazarus oder einem anderen bekannten APT-Bedrohungsakteur in Verbindung.

„Dies ist eine sehr ungewöhnliche Kampagne; wir sind noch dabei, die verschiedenen Informationen, die wir haben, zusammenzusetzen“, kommentiert Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. „Eines ist jedoch klar: Es handelt sich um eine Bedrohung, die von Spezialisten aufmerksam beobachtet werden muss. Der Akteur hat sich Zugang zu Tausenden von ICS-Computern verschaffen können, darunter auch zu vielen hochrangigen Organisationen. Wir werden unsere Untersuchungen fortsetzen und die Sicherheitsgemeinschaft über alle neuen Erkenntnisse auf dem Laufenden halten.“

Kaspersky-Empfehlungen zum Schutz vor PseudoManuscrypt

• Auf allen Servern und Workstations sollte eine umfassende Endpoint-Sicherheitslösung installiert werden.
• Überprüfen, ob alle Endpunktschutzkomponenten auf allen Systemen aktiviert sind und ob eine Richtlinie vorhanden ist, die die Eingabe des Administratorkennworts verlangt, falls jemand versucht, die Software zu deaktivieren.
• Prüfen, ob die Active-Directory-Richtlinien Beschränkungen für Anmeldeversuche von Nutzern bei Systemen enthalten. Nutzer sollten sich nur bei den Systemen anmelden dürfen, auf die sie zur Erfüllung ihrer Aufgaben Zugriff benötigen.
• Netzwerkverbindungen, einschließlich VPN, zwischen Systemen im OT-Netz sollten beschränkt werden. Zudem sollten Verbindungen an allen Ports, die für die Kontinuität und Sicherheit des Betriebs nicht erforderlich sind, blockiert werden.
• Smartcards (Token) oder Einmal-Codes als zweiten Authentifizierungsfaktor beim Aufbau einer VPN-Verbindung verwenden. In den Fällen, in denen dies anwendbar ist, wird die ACL-Technologie (Access Control List) verwendet, um die Liste der IP-Adressen einzuschränken, von denen eine VPN-Verbindung initiiert werden kann.
• Mitarbeiter des Unternehmens regelmäßig im sicheren Umgang mit dem Internet, E-Mail und anderen Kommunikationskanälen schulen und insbesondere über die möglichen Folgen des Herunterladens und Ausführens von Dateien aus nicht verifizierten Quellen informieren.
• Konten mit lokale Administrator- und Domänenadministrator-Rechten sollten nur dann verwendet werden, wenn dies für die Erfüllung der Aufgaben erforderlich ist.
• Die Nutzung eines Managed Detection and Response Services [6] bietet schnellen Zugang zu hochqualifiziertem Wissen und der Expertise von Sicherheitsexperten.
• Einen speziellen Schutz für Systeme in der Fertigung verwenden. Kaspersky Industrial CyberSecurity [7] schützt industrielle Endpunkte und ermöglicht die Überwachung von OT-Netzwerken, um schädliche Aktivitäten zu identifizieren und zu blockieren.

Weitere Informationen zu PseudoManuscrypt sind verfügbar unter https://ics-cert.kaspersky.com/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/

[1] https://ics-cert.kaspersky.com/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/ 

[2] https://securelist.com/apt-trends-report-q3-2021/104708/

[3] https://securelist.com/lazarus-threatneedle/100803/

[4] https://threatpost.com/google-glupteba-botnet-lawsuit/176826/

[5] https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/

[6] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[7] https://www.kaspersky.de/enterprise-security/industrial

Nützliche Links:

• Kaspersky-Analyse zu PsydoManuscript: https://ics-cert.kaspersky.com/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/
• Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial
• Kaspersky ICS CERT: https://ics-cert.kaspersky.com/
• Kaspersky-Analyse zu ThreatNeedle: https://securelist.com/lazarus-threatneedle/100803/
• Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response