Antivirus ESET entdeckt Angreifer, die die Zero-Day-Sicherheitslücke des jüngsten Windows-Betriebssystems für Cyberspionage ausgenutzt haben
Hersteller der beliebten Antiviren- und digitalen Sicherheitssoftware ESET haben die Angreifer entdeckt, die eine Zero-Day-Sicherheitsanfälligkeit des Windows-Betriebssystems ausgenutzt haben. Es wird angenommen, dass die Hacking-Gruppe hinter dem Angriff Cyberspionage betreibt. Interessanterweise ist dies kein typisches Ziel oder eine typische Methodik der Gruppe, die den Namen "Buhtrap" trägt, und daher weist der Exploit stark darauf hin, dass sich die Gruppe möglicherweise gedreht hat.
Der slowakische Antivirenhersteller ESET hat bestätigt, dass eine Hacker-Gruppe namens Buhtrap hinter einer Zero-Day-Sicherheitsanfälligkeit des Windows-Betriebssystems steckt, die in freier Wildbahn ausgenutzt wurde. Die Entdeckung ist ziemlich interessant und besorgniserregend, da die Aktivitäten der Gruppe vor einigen Jahren stark eingeschränkt wurden, als ihre Kernsoftware-Codebasis online durchgesickert war. Bei dem Angriff wurde Berichten zufolge eine soeben behobene Zero-Day-Sicherheitsanfälligkeit des Windows-Betriebssystems verwendet, um Cyberspionage durchzuführen. Dies ist sicherlich eine besorgniserregende Neuentwicklung, vor allem, weil Buhtrap nie Interesse daran gezeigt hat, Informationen zu extrahieren. Die Hauptaktivitäten der Gruppe bestanden darin, Geld zu stehlen. Damals, als es sehr aktiv war, waren die Hauptziele von Buhtrap Finanzinstitute und deren Server. Die Gruppe verwendete ihre eigene Software und Codes, um die Sicherheit der Banken oder ihrer Kunden zu gefährden und Geld zu stehlen.
Microsoft hat übrigens gerade einen Patch veröffentlicht, um die Zero-Day-Sicherheitsanfälligkeit des Windows-Betriebssystems zu blockieren. Das Unternehmen hatte den Fehler identifiziert und mit CVE-2019-1132 markiert. Der Patch war Teil des Patch Tuesday-Pakets vom Juli 2019.
Buhtrap Pivots zur Cyberspionage:
Die Entwickler von ESET haben die Beteiligung von Buhtrap bestätigt. Darüber hinaus hat der Antivirenhersteller sogar hinzugefügt, dass die Gruppe an der Durchführung von Cyberspionage beteiligt war. Dies widerspricht völlig den früheren Exploits von Buhtrap. ESET ist sich übrigens der neuesten Aktivitäten der Gruppe bewusst, hat jedoch die Ziele der Gruppe nicht bekannt gegeben.
Interessanterweise haben mehrere Sicherheitsbehörden wiederholt darauf hingewiesen, dass Buhtrap kein reguläres staatlich gefördertes Hacker-Outfit ist. Sicherheitsforscher sind zuversichtlich, dass die Gruppe hauptsächlich von Russland aus operiert. Es wird oft mit anderen fokussierten Hacking-Gruppen wie Turla, Fancy Bears, APT33 und der Equation Group verglichen. Es gibt jedoch einen entscheidenden Unterschied zwischen Buhtrap und anderen. Die Gruppe taucht selten auf oder übernimmt offen Verantwortung für ihre Angriffe. Darüber hinaus waren die Hauptziele immer Finanzinstitute, und die Gruppe suchte nach Geld statt nach Informationen.
Buhtrap tauchte erstmals 2014 auf. Die Gruppe wurde bekannt, nachdem sie sich um viele russische Unternehmen gekümmert hatte. Diese Unternehmen waren recht klein und daher boten die Überfälle nicht viele lukrative Renditen. Mit zunehmendem Erfolg zielte die Gruppe jedoch auf größere Finanzinstitute ab. Buhtrap begann, relativ gut bewachte und digital gesicherte russische Banken zu suchen. Ein Bericht von Group-IB zeigt, dass es der Buhtrap-Gruppe gelungen ist, mit mehr als 25 Millionen US-Dollar davonzukommen. Insgesamt habe die Gruppe 13 russische Banken erfolgreich durchsucht, behauptete das Sicherheitsunternehmen Symantec. Interessanterweise wurden die meisten digitalen Überfälle zwischen August 2015 und Februar 2016 erfolgreich durchgeführt. Mit anderen Worten, Buhtrap gelang es, etwa zwei russische Banken pro Monat auszubeuten.
Die Aktivitäten der Buhtrap-Gruppe wurden plötzlich eingestellt, nachdem ihre eigene Buhtrap-Hintertür, eine genial entwickelte Kombination von Software-Tools, online aufgetaucht war. Berichten zufolge haben möglicherweise einige Mitglieder der Gruppe selbst die Software durchgesickert. Während die Aktivitäten der Gruppe abrupt zum Erliegen kamen, konnten durch den Zugriff auf die leistungsstarken Softwaretools mehrere kleinere Hacking-Gruppen florieren. Mit der bereits perfektionierten Software begannen viele kleine Gruppen, ihre Angriffe durchzuführen. Der Hauptnachteil war die schiere Anzahl von Angriffen, die über die Buhtrap-Hintertür stattfanden.
Seit dem Durchsickern der Hintertür von Buhtrap drehte sich die Gruppe aktiv um die Durchführung von Cyber-Angriffen mit einer völlig anderen Absicht. ESET-Forscher behaupten jedoch, dass sie die Taktik der Gruppenverschiebung bereits im Dezember 2015 gesehen haben. Anscheinend hat die Gruppe begonnen, Regierungsbehörden und -institutionen ins Visier zu nehmen, bemerkte ESET: „Es ist immer schwierig, eine Kampagne einem bestimmten Akteur zuzuweisen, wenn ihre Werkzeuge verwendet werden Der Quellcode ist im Internet frei verfügbar. Da sich die Ziele jedoch vor dem Quellcode-Leck verschoben haben, gehen wir mit großer Zuversicht davon aus, dass dieselben Personen, die hinter den ersten Buhtrap-Malware-Angriffen gegen Unternehmen und Banken stehen, auch an der Bekämpfung von Regierungsinstitutionen beteiligt sind. “
ESET-Forscher konnten bei diesen Angriffen die Hand der Buhtrap beanspruchen, da sie Muster identifizieren und verschiedene Ähnlichkeiten bei der Durchführung von Angriffen feststellen konnten. "Obwohl das Arsenal um neue Tools erweitert und ältere aktualisiert wurden, haben sich die in den verschiedenen Buhtrap-Kampagnen verwendeten Taktiken, Techniken und Verfahren (TTP) in all den Jahren nicht dramatisch geändert."
Buhtrap Verwenden Sie eine Zero-Day-Sicherheitsanfälligkeit für Windows-Betriebssysteme, die im Dark Web gekauft werden kann?
Es ist interessant festzustellen, dass die Buhtrap-Gruppe eine Sicherheitsanfälligkeit innerhalb des Windows-Betriebssystems verwendet hat, die recht frisch war. Mit anderen Worten, die Gruppe hat eine Sicherheitslücke bereitgestellt, die normalerweise als "Zero-Day" gekennzeichnet ist. Diese Mängel sind normalerweise nicht gepatcht und nicht leicht verfügbar. Übrigens hat die Gruppe zuvor Sicherheitslücken im Windows-Betriebssystem verwendet. Sie haben sich jedoch normalerweise auf andere Hacker-Gruppen verlassen. Darüber hinaus hatten die meisten Exploits Patches, die von Microsoft herausgegeben wurden. Es ist sehr wahrscheinlich, dass die Gruppe Suchvorgänge durchgeführt hat, um nach nicht gepatchten Windows-Computern zu suchen, die infiltriert werden sollen.
Dies ist die erste bekannte Instanz, in der Buhtrap-Operatoren eine nicht gepatchte Sicherheitsanfälligkeit verwendet haben. Mit anderen Worten, die Gruppe verwendete eine echte Zero-Day-Sicherheitsanfälligkeit unter Windows. Da der Gruppe offensichtlich die erforderlichen Fähigkeiten fehlten, um die Sicherheitslücken zu entdecken, sind die Forscher der festen Überzeugung, dass die Gruppe diese möglicherweise gekauft hat. Costin Raiu, Leiter des globalen Forschungs- und Analyseteams bei Kaspersky, ist der Ansicht, dass die Zero-Day-Sicherheitsanfälligkeit im Wesentlichen ein Fehler bei der Erhöhung von Privilegien ist, der von einem Exploit-Broker namens Volodya verkauft wird. Diese Gruppe hat eine Geschichte, in der Zero-Day-Exploits sowohl an Cyberkriminalität als auch an nationalstaatliche Gruppen verkauft wurden.
Es gibt Gerüchte, wonach Buhtraps Dreh- und Angelpunkt für Cyberspionage vom russischen Geheimdienst verwaltet werden könnte. Obwohl unbegründet, könnte die Theorie genau sein. Möglicherweise hat der russische Geheimdienst Buhtrap angeworben, um für sie auszuspionieren. Der Dreh- und Angelpunkt könnte Teil eines Abkommens sein, um die früheren Verstöße der Gruppe anstelle sensibler Unternehmens- oder Regierungsdaten zu verzeihen. Es wurde angenommen, dass der russische Geheimdienst in der Vergangenheit solche groß angelegten Hacking-Gruppen von Drittanbietern organisiert hat. Sicherheitsforscher haben behauptet, dass Russland regelmäßig, aber informell talentierte Personen rekrutiert, um zu versuchen, in die Sicherheit anderer Länder einzudringen.
Interessanterweise war Buhtrap bereits 2015 an Cyberspionage-Operationen gegen Regierungen beteiligt. Regierungen osteuropäischer und zentralasiatischer Länder haben routinemäßig behauptet, russische Hacker hätten mehrfach versucht, in ihre Sicherheit einzudringen.