Cyberkriminelle nutzen offenbar staatliche Spionage-Malware

Hacker scheinen Zugriff auf eine Malware zu haben, die ursprünglich für staatliche Spionagezwecke entwickelt wurde. Die Gyges bezeichnete Schadsoftware kommt wohl aus Russland und lässt sich offenbar mit anderer Malware wie Keyloggern und Ransomware bündeln.

Der Sicherheitsfirma Sentinel Labs zufolge modifizieren Hacker die „Gyges“ genannte Schadsoftware, um sie als Rootkit oder Ransomware einzusetzen.

hacker-security

Nach Angaben des Unternehmens wurde Gyges im März entdeckt. Ursprungsland sei wahrscheinlich Russland. Gyges sei „praktisch unsichtbar“ und könne über einen langen Zeitraum agieren, ohne entdeckt zu werden.

„Es ist für uns keine Überraschung, dass diese Art von staatlicher Spionage-Malware irgendwann in die Hände von Cyberkriminellen gefallen ist“, heißt es in dem Untersuchungsbericht. „Gyges ist ein erstes Beispiel dafür, wie fortschrittliche Techniken und Code, die von Regierungen für Spionage entwickelt wurden, tatsächlich einem neuen Zweck zugeführt, modularisiert und mit anderer Malware gebündelt werden, um Internetverbrechen zu begehen.“

Man sei zwar in der Lage gewesen, Gyges mit geräteinternen heuristischen Sensoren zu entdecken, viele Intrusion-Prevention-Systeme könnten dies jedoch nicht, so Sentinel Labs weiter. Die Malware verwende ausgeklügelte Techniken, um einer Erkennung zu entgehen, sowie weniger bekannte Techniken, um in ein System einzudringen. Sie werde tätig, sobald der Nutzer seine Arbeit einstelle. Viele andere Schadprogramme würden hingegen aktiv, sobald der Nutzer seine Arbeit beginne. Gyges versuche so, eine Erkennung durch Sandbox-basierte Sicherheitstools zu verhindern.

Gyges setzt zudem eine Hooking-Bypass genannte Technik ein, die einen Fehler in der Log-Funktion von Windows 7 und 8 ausnutzt. Zudem kann sich die Malware vor Debugging und Reverse-Engineering schützen. Eine weitere Schutzvorrichtung namens Yoda verwischt alle Aktivitäten, indem sie sie in mehrere Bereiche aufteilt.

Gyges wurde Sentinel Labs zufolge möglicherweise schon zusammen mit einer Ransomware eingesetzt. Es sei auch denkbar, Schadcode für Keylogger, die Erstellung von Screenshots und Datendiebstahl gemeinsam mit Gyges in ein System einzuschleusen. Andere, weniger weit entwickelte Schadsoftware könne in Kombination mit Gyges höhere Infektionsraten und auch eine höhere Verweildauer auf einem System erreichen. Gerade im Zusammenhang mit einer Ransomware könne Gyges Hackern helfen, Geld von ihren Opfern zu erpressen.

„Die Gyges-Variante zeigt nicht nur, dass Malware immer ausgereifter wird, sondern auch, dass die Grenzen zwischen staatlicher Malware und Mainstream-Schadcode immer weiter verwischen“, teilte Sentinel Labs mit. Die Tatsache, dass sich ein „Carrier“-Schadcode mit jeder anderen Art von Malware kombinieren lasse, um im Verborgenen Angriffe durchzuführen, sei ein weiterer Hinweis darauf, dass die derzeitigen Sicherheitsansätze für die Erkennung fortschrittlicher Bedrohungen nicht mehr ausreichend seien.

[mit Material von Stefan Beiersmann, ZDNet.de/a>]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Cyberkriminelle nutzen offenbar staatliche Spionage-Malware

  • Am 23. Juli 2014 um 09:55 von Stefan Musil

    ….Genialität lässt sich nun einmal nicht administrieren…

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *