ESET deckt Spionageangriffe auf europäische Regierungsziele auf

Nächste PM

Jena, 18. Oktober 2019 – ESET Sicherheitsexperten haben Operation „Ghost“ der Spionagegruppe „The Dukes“ (alias APT29 oder Cozy Bear) entdeckt. Die Kampagne dauert weiterhin an. Bekannt ist im Moment, dass neben der Botschaft eines EU-Mitgliedsstaats in den USA auch die Außenministerien von drei europäischen Ländern infiltriert wurden. Bekannt wurde die Spionagegruppe durch einen Cyberangriff auf das Demokratische Nationalkomitee während der US-Präsidentschaftswahl 2016. Im aktuellen Fall haben es „The Dukes“ geschafft, seit 2013 unerkannt zu bleiben. Dabei geht die Gruppe sehr behutsam vor und stiehlt systematisch Anmeldeinformationen, um sich im Netzwerk fortzubewegen. Die ESET Forscher haben ihre Ergebnisse auf WeLiveSecurity veröffentlicht.

ESET hat drei neue Malware-Familien identifiziert, die mit den Dukes in Verbindung gebracht werden können: PolyglotDuke, RegDuke und FatDuke. "Eine der ersten öffentlichen Spuren dieser Kampagne ist im Juli 2014 auf Reddit zu finden", sagt ESET-Forscher Matthieu Faou. "Wir können mit großer Sicherheit bestätigen, dass die gleiche Gruppe hinter Operation ‚Ghost‘ und dem Angriff während der US-Wahlen steckt."

Ähnliche Vorgehensweisen bestätigen Verdacht

Die Zuordnung dieser Angriffe zur Spionagegruppe „The Dukes“ basiert auf mehreren Ähnlichkeiten in der Vorgehensweise, die in dieser Kampagne beobachtet wurden.  Insbesondere hat die Gruppe Twitter und Reddit verwendet, um ihre Command & Control URLs zu hosten, und haben Bilder durch Steganographie manipuliert, um bösartige Payloads oder Befehle zu verstecken. Darüber hinaus wurden Ziele ins Visier genommen, die zum Teil bereits in der Vergangenheit von der Gruppe attackiert wurden. Ein weiterer Beweis sind die starken Codeähnlichkeiten zwischen bereits dokumentierten Proben und Operation „Ghost“.

Infiltration in vier Phasen

„The Dukes“ haben eine ausgeklügelte Malware-Plattform im Einsatz, die in vier Phasen abläuft. Zunächst holt das Schadprogramm seine C&C-URL über Twitter oder andere soziale Netzwerke und Webseiten. In der zweiten Phase verwendet es Dropbox, um Befehle von den Angreifern zu empfangen. Danach setzt es eine einfache Backdoor-Malware ein, die wiederum eine komplexere Backdoor in der letzten Phase mit vielen Funktionalitäten und einer flexiblen Konfiguration ablegt.

Ihre Ergebnisse haben die ESET Forscher auf WeLiveSecurity in einem Whitepaper veröffentlicht: https://www.welivesecurity.com/2019/10/17/operation-ghost-dukes-never-left/

Pressekontakt

Thorsten Urbanski
Head of Communication & PR DACH
+49 3641 3114 261
thorsten.urbanski@eset.de

Michael Klatte
PR-Manager
+49 3641 3114 257
michael.klatte@eset.de

Christian Lueg
PR-Manager
+49 3641 3114 269
christian.lueg@eset.de

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.