Berüchtigte Hackergruppe Turla hat es wieder getan

Mit viel Aufwand hat die vom russischen Staat finanzierte Gruppe Turla erneut zugeschlagen: Diesmal nahmen sich die Hacker die E-Mail-Server von diplomatischen Einrichtungen und Ministerien vor.

Getty Images

Von Uli Ries


Nur eine Handvoll Opfer der jüngsten Turla-Kampagne sind bislang bekannt: ein Außenministerium in Osteuropa, eine diplomatische Einrichtung im Nahen Osten und eine nicht näher bekannte Organisation in Brasilien. Das klingt auf den ersten Blick unspektakulär, die Kampagne ist aber trotzdem brisant - denn es kann gut sein, dass noch weitere Organisationen infiziert sind, ohne dass es dort jemand gemerkt hat.

Die Art und Weise, mit der die vom russischen Staat instruierten Hacker durch Missbrauch legitimer Funktionen von Microsoft-Exchange-Servern Daten aus den betroffenen Organisationen schleusten, ist nämlich einzigartig.

Die Entwickler der Gruppe Turla, die auch unter den Codenamen Snake und Uruburos bekannt ist, programmierten laut den Antivirenforschern von Eset einen sogenannten Transport Agent für Microsoft Exchange. Diese Exchange-Erweiterungen dienen üblicherweise zum Filtern von Spam und Malware oder zum automatischen Hinzufügen von E-Mail-Signaturen. Sie sind an zentraler Stelle installiert und kommen so mit sämtlichen ein- und ausgehenden E-Mails in Berührung.

Eine bislang unbekannte Methode

Die von Eset LightNeuron getaufte Malware klinkt sich als solcher Transport Agent ein, sodass die Hintermänner den kompletten E-Mail-Strom unter ihre Kontrolle bringen können - laut Eset gab es diese Methode in der Welt der Datendiebe bislang noch nicht.

Mittels ihrer Backdoor können die Angreifer nicht nur perfekte Spear-Phishing-Nachrichten verfassen, da der Absender der E-Mail auch bei genauerem Hinsehen legitim scheint. Die Hacker können beispielsweise auch Links in ausgehende E-Mails einfügen, Betreffzeilen ändern - und sich selbst beliebige, aus den betroffenen Organisationen geklaute Dateien schicken. Aufgrund der von den Hackern zum Versand verwendeten Exchange-Methode umgehen diese ausgehenden Nachrichten sämtliche eventuell vorhandenen Sicherheitsmechanismen.

Wie Thomas Uhlemann, Security Specialist bei Eset, dem SPIEGEL erklärt, wurden die Funktionen zur Manipulation von E-Mails auch in der Praxis eingesetzt und lenkten so das Augenmerk der Sicherheitsforscher auf den E-Mail-Server. Es heißt, Turla verwende die Methode mindestens seit dem Jahr 2014 aktiv.

Zur Kontrolle der Backdoor müssen sich die Hacker nicht direkt mit dem infizierten Server verbinden. So vermeiden sie unnötiges Aufsehen. Vielmehr lässt sich LightNeuron durch Kommandos steuern, die per Steganografie in JPG- und PDF-Dateien versteckt sind. Die Dateien sind Anhänge von E-Mails an einen beliebigen Empfänger in der jeweiligen Organisation.

Nach dem Auslesen der Kommandos löscht die Malware die Mails, sodass sie nie im Empfängerpostfach landen. Eine ähnliche Methode verwendete Turla beim Angriff auf die Netzwerke der Bundesregierung in den Jahren 2016 und Jahr 2017.

Zwei-Faktor-Authentifizierung senkt das Risiko

In ihrem Report erklären die Forscher von Eset, woran sich eine Infektion durch LightNeuron erkennen lässt. Sie warnen auch davor, die beiden zur Malware gehörenden Dateien einfach zu löschen - dies brächte den Exchange-Server zum Stillstand.

Zwar gibt es kein Sicherheitsupdate, das eine Infektion durch die Backdoor verhindert - schließlich wird ja keine Sicherheitslücke missbraucht, sondern ein herkömmliches Feature der Software. Da zur erstmaligen Installation von LightNeuron aber Adminrechte auf dem Exchange-Server nötig sind, können Organisationen sich dennoch schützen: Das Aktivieren der Zwei-Faktor-Authentifizierung für die Nutzerkonten der Administratoren senkt das Risiko immens.

Außerdem sollte laut Eset regelmäßig überprüft werden, ob die installierten Transport Agents per digitaler Signatur einem vertrauenswürdigen Entwickler zuzuordnen sind. Wenngleich letzteres Vorgehen für sich genommen auch nicht wasserdicht ist, wie die Attacken auf Asus kürzlich belegten.



insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
kulinux 08.05.2019
1. Selten dämliche Hacker!
Da gelingt es ihnen, sich als Admins auf Exchange-Servern anzumelden und ihre Software zu installieren, ohne dass jemand von den richtigen Admins merkt, dass da "im Hintergrund" irgendwelche "Dienste" laufen, die sie gar nicht selbst installiert haben. Und dann schaffen sie es sogar, diese Software aus der Ferne über steganographische Nachrichten zu steuern, was zweifellos ein Feature ist, das selbst Microsoft noch gar nicht aufgefallen sein dürfte. Und dann hinterlassen diese dämlichen Hacker ihren Namen (bzw. den ihrer Gruppe) und sogar Überweisungsbelege, die da gar nichts auf fremden Servern zu suchen haben, die aber beweisen, dass sie vom russischen Staat bezahlt werden? Wie dumm kann man eigentlich sein? Diese Frage ließe sich aber auch an die NSA richten, die trotz weltweiter Überwachung (s. Snowden) nicht in der Lage war, solche Aktivitäten zu erkennen und abzustellen. Und diese Frage ließe sich auch an Microsoft stellen, denn eine Software, die sich derart in das System einbetten und trotzdem aus der Ferne so versteckt steuern lässt, deutet auf (mindestens) eine Sicherheitslücke hin, für deren "Bereitstellung" man schon erstaunlich dumm sein muss, wenn man es nicht absichtlich so eingerichtet hat. Aber das würde eine Firma, die für den "NSA-Key" berühmt ist, sicherlich nie nie nie tun ... oder? PS: Wer Ironie findet, darf sie behalten. Zum Glück
Ich-seh-das-mal-so 09.05.2019
2. Schade, ...
dass aus dem Artikel leider der interessante Aspekt dieses Mitlauschens nicht beleuchtet wird. Nämlich die Art und Weise, wie der Transport Agent (btw: meinen Informationen nach heißen die MTA = Mail Transfer Agent) im Exchange Server installiert wurde. Dem Ganzen muss also eine entsprechende Sicherheitslücke der Exchange Server Infrastruktur oder eine Nachlässigkeit der Administratoren zugrunde liegen. Dies wäre spannend zu wissen und zu publizieren (!), damit andere Exchange-Nutzer diese Lücken schnellstmöglich stopfen.
Nur ein Gast 12.05.2019
3. @kulinux: Sorry, keine Ahnung
Microsoft hat eben keine Sicherheitslücke bereitgestellt. Ein Admin hat eine Software installiert, dies selbst erst die Sicherheitslücke mitbrachte. Wer behauptet, so etwas verhindern zu können, hat von Programmierung nicht sonderlich viel Ahnung.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.