[Netzwelt] Supertrojaner Project-Sauron entdeckt

Jump to last post
Sicherheitsforscher haben einen Schädling entdeckt der sich seit mindestens 5 Jahren unerkannt auf diversen Computersystemen befindet. Darunter befinden sich Systeme von Behörden, Banken, Militärnetwerke und Forschungseinrichtungen in Ländern wie z. B. China, Schweden, Belgien und Russland.

Der Schädling der von Kaspersky den Namen Project-Sauron erhalten hat, verbreitet sich über USB-Sticks und kann hierbei Schutzmechanismen umgehen. Project-Sauron besteht aus 50 Modulen, die je nach Bedarf an das betreffende Ziel angepasst werden können. Zudem erfolgt die Steuerung über immer wieder wechselnde IP-Adressen. Dies hat zur folge, dass der Schädling schwer zu entdecken ist, da kein bestimmtest Muster erkennbar ist.

Kasperksy geht davon aus, dass die Entwicklung von Project-Sauron mehrere Millionen Dollar gekostet haben muss. Es liegt daher nahe, dass z. B. Geheimdienste an der Entwicklung beteiligt waren. Kaspersky hat daher den Schädling als
You do not have permission to view link please Anmelden or Registrieren
eingestuft. Aktuell sind 30 Kompromittierungen bekannt. Es wird aber davon ausgegangen, dass die Dunkelziffer deutlich höher sein wird.

Quelle:
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
Die Liste betroffener Länder lässt - zusätzlich zu den Erfahrungen der Vergangenheit - leicht erraten wer der U(h)rheber ist... :rolleyes:
 
Lol und unsere bekommen nicht mal nen gescheiten Bundestrojaner auf die Beine :T
 
Vielleicht steckt aber auch gerade die BRD dahinter. Um den Verdacht von sich zu lenken stellen sie sich nur mit ihren Bundestrojaner-Pannen als inkompetente Tölpel dar.
Die Liste der potentiellen Entwickler ist jedoch lang. Das können fast alle sein: USA, Russland, China, Nordkorea, Frankreich, England, Kanada, Deutschland..
Auch wenn ein paar in den letzten Jahren häufiger in Erscheinung getreten sind, wäre es paradox anzunehmen, dass andere nicht das gleiche Spiel treiben.
 
Opfer in Russland und im Iran würde wahrscheinlich eher auf eine US Aktion hindeuten. Nichts desto trotz würde ich keine vorschnelle Schlüsse ziehen.
 
eine verbreitung über USB-sticks ist doch eine garantie dafür, entdeckt zu werden (was macht denn bloß die autorun.inf auf dem FAT32-laufwerk?) :confused:.. für ein hacker-kollektiv vom kaliber eines ami-geheimdienstes ist so ein vorgehen mindestens fahrlässig und überhaupt recht dämlich, wo sie doch alle MS-backdoors dieser welt nutzen können :confused:..
 
@Novgorod

Der Trojaner nutzt nicht die klassische USB-Verbreitung (die wohl auch zu auffällig wäre), sondern nutzt USB-Sticks, um Daten aus System abzuziehen, die nicht am Internet hängen. Der
You do not have permission to view link please Anmelden or Registrieren
ist da etwas detailreicher:
The ProjectSauron toolkit contains a special module designed to move data from air-gapped networks to Internet-connected systems. To achieve this, removable USB devices are used. Once networked systems are compromised, the attackers wait for a USB drive to be attached to the infected machine.

These USBs are specially formatted to reduce the size of the partition on the USB disk, reserving an amount of hidden data (several hundred megabytes) at the end of the disk for malicious purposes. This reserved space is used to create a new custom-encrypted partition that won’t be recognized by a common OS, such as Windows. The partition has its own semi-filesystem (or virtual file system, VFS) with two core directories: ‘In’ and ‘Out’.
Zum Vergrößern anklicken....
Wie genau die Infektion abläuft ist nicht klar, da kein entsprechender Code gefunden wurde.
 
Viren, Trojaner etc. sind das aktuell kostengünstigste und mit weitem Abstand beste Mittel der Kriegsführung...
Der Urheber kann in keinster Weise nachgewiesen oder belegt werden - die Vermutungen die immer durch die Presse gehen sind genau das ... Vermutungen.
Der "Code" / die "Methoden" sehen denen ähnlich die typischerweise Land x,y,z benutzen. Und wenn man möchte das genau das Land den schwarzen Peter bekommt dann tut man was?

Über div. Relays lässt sich auch die Datenspur ohne Probleme beliebig legen / verwischen.

USB ist in vielen Firmen weit weniger geschützt als div. andere Wege. Auch das Patchen der Systeme Zeitnah geschehen soll hat sich schon recht weit rumgesprochen.
Ein USB-Stick am besten noch mit Firmenlogo der auf dem Parkplatz liegt wird gerne mal in den PC gesteckt. Wenn man dann keine passende Portcontrole hat ist der PC infiziert.
Auch hängen wichtige Systeme nicht zwingend an zugreifbaren Netzen....
 
drfuture schrieb:
USB ist in vielen Firmen weit weniger geschützt als div. andere Wege.
Zum Vergrößern anklicken....

wenn du einen post über dir liest, wirst du sehen, dass der trojaner USB nicht zur infektion nutzt (eine autorun.inf wäre zu auffällig, wie schon mehrmals gesagt wurde), sondern ausschließlich zum datentransfer zwischen bereits infizierten rechnern.. wie ein rechner mit airgap ohne autorun.inf (und vermeintlich ohne bösewicht-insider) infiziert werden soll, will aber niemand verraten :)..
 
drfuture schrieb:
USB ist in vielen Firmen weit weniger geschützt als div. andere Wege. Auch das Patchen der Systeme Zeitnah geschehen soll hat sich schon recht weit rumgesprochen.
Ein USB-Stick am besten noch mit Firmenlogo der auf dem Parkplatz liegt wird gerne mal in den PC gesteckt. Wenn man dann keine passende Portcontrole hat ist der PC infiziert.
Auch hängen wichtige Systeme nicht zwingend an zugreifbaren Netzen....
Zum Vergrößern anklicken....

drfuture schrieb:
du brauchst doch keine autorun.inf sondern nur eine urlaubsbilder.exe ....
Zum Vergrößern anklicken....

Da der Trojaner schon seit langem aktiv ist, ohne entdeckt worden zu sein, schätze ich, dass die Infektion von Angreifer selbst (Agent) durchgeführt wurde.
USB-Sticks lassen sich durch manipulierte Firmware auch sowohl als Eingabegerät, als auch als Festplatte nutzen. Das angegriffene System erkennt also z.B. eine Tastatur und einen Speicherstick. Der Treiber sorgt anschließend dafür, dass die "Tastatur" die benötigten Eingaben tätigt, um die Malware zu übertragen und ggf. auszuführen.
 
jo - ist ganz lustig... habe so dem Vorstand in einer Vorführung Mails aus Outlook abgezogen als er am Klo war ;D (mit ankündigung und erlaubnis natürlich)
 
You do not have permission to view link please Anmelden or Registrieren
eine exe-datei mit "unverfänglichem" namen sollte selbst bei DAUs mittlerweile die alarmglocken läuten lassen, das sollte nach 25 jahren nun auch bei denen angekommen sein ;).. zudem wäre es noch auffälliger und bedarf eines aktiven user-eingriffs, während die autorun.inf zumindest mit standardeinstellungen und ohne virenscanner automatisch startet.. wobei letzteres auch immer unwahrscheinlicher wird: ich nutze seit vielen jahren eine USB-platte mit truecrypt-container und autorun.inf, die auf eine mount.bat zeigt (damit die passwort-aufforderung "automatisch" kommt) - diese festplatte hatte ich schon an sehr vielen rechnern dran und kein einziger hat bisher die autorun.inf ausgeführt und in vielen fällen kam noch UAC dazwischen ;) - also autorun-USB-sticks halte ich mittlerweile für einen mythos aus vor-XP-zeiten...

das mit dem tastaturtreiber muss ein sehr gezielter angriff sein (kenntnis über das OS und die momentane konfiguration) und natürlich muss dafür der präparierte stick eingeschleust werden.. insbesondere kann sich der virus nicht auf diese weise "verbreiten", weil eben nur jener eine stick dieses "easteregg" hat..
 
Du musst nur wissen ob Windows oder Linux, der Rest geht über allgemein gültige Tasten Kürzel....

Und Nein, auch nach 25 Jahren funktioniert das ohne Probleme...
 
Novgorod schrieb:
also autorun-USB-sticks halte ich mittlerweile für einen mythos aus vor-XP-zeiten...
Zum Vergrößern anklicken....
In meiner Schule hat sich damals so einer heftig ausgebreitet - aber nur bei Windows-usern.
Das war 2008, als gerade die meisten von XP auf 7 wechselten, ein paar Wochen später begann dann das gratis Antivir, den Autostart zu blockieren und die Dateien zu scannen.
 
Ein Code sie zu knechten, sie alle zu finden, ins Dunkel...
Ich wette die Hacker nutzt die Hälfte ihrer Zeit, um sich bedrohlich Namen auszudenken.

So wie ich das verstanden habe installiert ein infizierter Rechner auf einem USB-Stick geheime, verschlüsselte Malware. Steckt man den USB-Stick in einen anderen Rechner, der nicht am Netz hängt, wird auch dieser infiziert. Um ihn dann (möglicherweise per Zero-Day-Lücke) zu kontrollieren. Und dann konnten sie Daten von dem Computer per USB-Stick entwenden?

Finde nur ich das als Laie sehr clever oder ist das schon länger Standard in der Branche?
 
nein, die zeiten des USB-stick-reinstecken sind schon lange vorbei, da sind die standardeinstellungen von win7+ zu restriktiv und die chance erwischt zu werden zu hoch.. eine tatsächlich gut versteckte infektion über ein air-gap geht entweder über einen insider oder auf gut glück mit präparierten dateien, die drittsoftware exploiten sollen (z.b. exploits in word/excel/powerpoint-dateien etc.).. aber auch das macht nur sinn für gezielte angriffe auf bestimmte rechner, weil man wissen oder ahnen muss, welche art von dateien überhaupt auf einen air-gap rechner per stick gelangen (stuxnet lässt güßen) und es müssen exploits in genau der software gefunden werden, die zudem noch admin/systemrechte am UAC vorbei bekommen können (bei air-gap rechnern kann man ja davon ausgehen, dass sie restriktiver eingestellt sind als normale büro-rechner, sonst wären sie ja nicht vom netz getrennt)..
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben