Blackout-Malware aus der Ukraine im Dark Web frei verfügbar

Ausgeklügelte Malware-Techniken, die von staatlich unterstützten Angreifern verwendet werden, um ukrainische Kraftwerke 2015 zu lahmzulegen, werden nun von der Black-Hat-Community in größerem Umfang eingesetzt, warnte Venafi.

Die fragliche Malware zielt auf SSH-Schlüssel ab, die dazu dienen, Remote-Befehle an und die Kommunikation zwischen Maschinen zu sichern. Als solche sind sie von zentraler Bedeutung für die Sicherung von Cloud-Workloads, VPN-Verbindungen, angeschlossenen IoT-Geräten und mehr.

Blackout-Malware aus der Ukraine im Dark Web frei verfügbar

Durch die Ausnutzung eines einzigen SSH-Schlüssels könnten Angreifern unbemerkt Root-Zugriff auf unternehmenskritische Systeme gewähren, um Malware zu verbreiten oder Prozesse zu sabotieren, warnte der Sicherheitsanbieter.

Es lässt sich beobachten, dass Malware die SSH-Schlüssel der Angreifer zu einer Liste autorisierter Schlüsseldateien auf den Opfermaschinen hinzufügt, was bedeutet, dass diese Maschine dem Schlüssel vertraut. Andere Techniken umfassen das Erzwingen einer schwachen SSH-Authentifizierung, um Zugang zu erhalten und sich in Netzwerken zu bewegen.

Diese Techniken wurden im vergangenen Jahr vom Crimeware-Botnet TrickBot, der Kryptomining-Kampagne CryptoSink, dem Linux-Wurm und Skidmap beobachtet, sagte Venafi. Das ist weit entfernt von dem relativ seltenen Anblick eines hinterhältigen SSH-Servers, der im Dezember 2015 von der BlackEnergy-Bande benutzt wurde. Dieser Angriff verursachte massenhafte Stromausfälle in Teilen der Ukraine.

„SSH-Schlüssel können in den falschen Händen mächtige Waffen sein. Aber bis vor kurzem hatten nur die ausgeklügeltsten, gut finanzierten Hacker-Gruppen diese Art von Fähigkeiten. Jetzt sehen wir einen ‚Trickle-Down‘-Effekt, bei dem SSH-Fähigkeiten immer mehr zum Allgemeingut werden“, warnte Yana Blachman, Spezialistin für Bedrohungsaufklärung bei Venafi.

„Was diese Kommodifizierung so beunruhigend macht, ist, dass ein Angreifer, wenn er in der Lage ist, ein potenziell interessantes Ziel durch die Hintertür zu erreichen, diesen Zugang monetarisieren und über spezielle Kanäle an raffiniertere und gesponserte Angreifer verkaufen kann, wie z.B. Bedrohungen durch Nationalstaaten zum Zwecke der Cyber-Spionage oder des Cyber-Kriegs.

Dies sei schon einmal geschehen, als man herausfand, dass die TrickBot-Bande einen „Bot-as-a-Service“ an nordkoreanische Hacker verkauft habe, behauptete sie.

Um solche Bedrohungen zu bekämpfen, müssen Organisationen eine klare Sicht auf und einen Schutz für alle autorisierten SSH-Schlüssel im Unternehmen haben, um zu verhindern, dass sie gekapert werden und um Versuche von Angreifern zu blockieren, ihre eigenen bösartigen SSH-Rechner-Identitäten in Systeme einzufügen.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.