Außergewöhnliche Malware nimmt westeuropäische Telkos ins Visier

Im Rahmen seiner Präsentation bei der Konferenz Labs Con hat Dr. Aleksandar Milenkoski von Sentinel Labs erläutert, was die Lua Dream getaufte Malware so außergewöhnlich macht: „Das Design der Malware sticht aus der Masse hervor“, so Milenkoski im Gespräch mit heise security. Es komme nur sehr selten vor, dass von APT-Gruppen (Advanced Persistent Threat) verwendete Schadsoftware auf der Plattform LuaJIT basiert, die oftmals als Middleware in Computerspielen dient. Die Backdoor-Komponente von Lua Dream ist laut Sentinel Labs als Lua-JIT-Bytecode (Just in Time) programmiert und kommuniziert mit den benötigten Windows-APIs mittels der Lua-FFI-Bibliothek.

Die Backdoor bringe laut Milenkoski den notwendigen Code mit, um Daten wie System- und Nutzerinformationen zu sammeln, mit Kontroll-Servern (ssl.explorecell.com und mode.encagil.com) per TCP, HTTPS, WebSocket oder QUIC zu kommunizieren und weitere Module nachzuladen. "Die Lua-Plattform ermöglicht diese Modularität", so Milenkoski. Außerdem erschwere es der Just-in-Time-Compiler, den während der Ausführung der Malware direkt in den Speicher geschriebenen Lua-Skriptcode zu entdecken.

Unvollständiger Bausatz gefunden

Aufgespürt hat Sentinel Labs den aus 34 Teilkomponenten bestehenden Schädling im August zusammen mit der Qgroup GmbH in den Netzwerken von verschiedenen Telekommunikationsanbietern im Mittleren Osten, Westeuropa und Südasien. Es ist anzunehmen, dass es derzeit unentdeckte Infektionen von weiteren Opfern gibt. Mit welchem Ziel die Unternehmen angegriffen wurden, ist derzeit noch unklar. Nachdem die Antivirenforscher die Täter auf frischer Tat ertappten und ihnen den Zugang abschnitten, fanden sich in den Malware-Proben nicht alle der zu Lua Dream gehörenden Teile.

So seien laut Milenkoski im Code Hinweise auf Plug-ins zu finden, die die Backdoor bei Bedarf nachlädt und ihren Funktionsumfang so um Features wie Remote Command Execution erweitert. Diese Erweiterungen gingen den Forschern bislang aber bisher nicht ins Netz. Ebenso ist unbekannt, wie der Schädling auf die infizierten Rechner geschleust wurde. Bemerkenswert sei laut Sentinel Labs jedoch, dass die Angreifer die zum Laden von Lua Dream nötigen Windows-Dienste nicht selbst neu gestartet haben, um einen Alarm aufgrund der Manipulation der Dienste zu vermeiden. Stattdessen warteten sie den Reboot des infizierten Rechners ab.

Die Spur führt nach Asien

Bislang kann man nur spekulieren, wer hinter den mittels Lua Dream ausgeführten Angriffen steckt. Kaspersky hat eine in Pakistan entdeckte Variante des Schädlings erstmals als "Dream Land" im Frühjahr in einem Bericht erwähnt, ohne ihn einer Gruppierung zuzuordnen. Sentinel Labs taufte die APT-Gruppe nun Sandman.

Laut Milenkoski bestehe eine Diskrepanz zwischen der vergleichsweise raffinierten Malware und dem Umgang der Operateure mit dem Schädling: Diverse, geografisch weit auseinanderliegende infizierte Endpunkte kommunizierten mit demselben Kontroll-Server. Diese fehlende Segmentierung könne darauf hindeuten, dass es nicht die Macher der Malware sind, die die Kontrolle über die infizierten Netzwerke ausüben, sondern eine Söldnertruppe.

Aus anderer Quelle war zu hören, dass Lua Dream auf PCs gefunden wurde, die gleichzeitig mit Malware infiziert waren, die einer asiatischen APT-Gruppe zuzurechnen ist und mittels der gleichen Protokolle Kontakt zu den Kontroll-Servern aufnimmt wie Lua Dream. Steckt tatsächlich ein asiatischer Dienst hinter Lua Dream wäre dies insofern außergewöhnlich, da im letzten Jahrzehnt entdeckte, mit Lua programmierte Malware wie Flame, Project Sauron oder Evil Bunny sämtlich westlichen beziehungsweise dem Westen nahestehenden Diensten zugeschrieben wird.

(des)