Jena, 18. Juli 2019 – Die berüchtigte Ke3chang-Gruppe hat Auslandsvertretungen und Regierungsinstitutionen in Belgien, der Slowakei, Brasilien, Chile und Guatemala ausgespäht. In der Vergangenheit wurde vermutet, dass Ke3chang hinter Angriffen auf EU-Abgesandte im Umfeld des G-20-Gipfels 2013 steckte. Zudem soll sie 2018 Spionageangriffe auf geheime militärische Daten der britischen Regierung durchführt haben. Im Zuge der aktuellen Angriffe haben ESET Forscher eine neue Malware-Familie sowie eine bisher unbekannte Backdoor namens Okrum entdeckt, die die Gruppe hierfür eingesetzt hat. Der europäische IT-Sicherheitshersteller verfolgt die Spuren der Gruppe seit mehreren Jahren und geht davon aus, dass sie von China aus operiert. Hierzu hat ESET nun eine Studie veröffentlicht, die die Ergebnisse zu den Aktivitäten in den europäischen Ländern zusammenfasst. Die Analyse haben die Forscher auf WeLiveSecurity veröffentlicht.
„Auch 2019 ist die Gruppe aktiv – im März haben wir bereits wieder Spuren von Ke3chang gesehen“, erklärt Thomas Uhlemann, ESET Security Specialist. „Es ist nicht so leicht die Tätigkeiten solcher Hacker zurückzuverfolgen. Dahinter steckt sehr viel Detektiv-Arbeit.“
Backdoor griff zunächst Ziele in der Slowakei an
Ende 2016 haben ESET Forscher erstmals eine neue und bisher unbekannte Backdoor Okrum entdeckt. Die damit angegriffenen Ziele lagen zunächst in der Slowakei und wurden vorher mit einer älteren Backdoor der Ke3chang-Gruppe namens Ketrican attackiert. Hierdurch kamen die Sicherheitsexperten der Malware auf die Spur und konnten die Fährte zurückverfolgen. Okrum hatte die gleichen Ziele wie Ketrican und verhält sich ähnlich wie andere Malware der Spionagegruppe. So ist das Schadprogramm beispielsweise nur mit einfachen Backdoor-Befehlen ausgestattet und benötigt die manuelle Eingabe von Shell-Befehlen sowie die Auführung externer Tools für seine bösrtigen Aktivitäten. Das ist das Standardverfahren der Ke3chang-Gruppe.
ESET Forscher haben Gruppe im Blick
Seit vielen Jahren befassen sich die ESET Forscher detailliert mit dem Vorgehen der Gruppe. Die Hacker attackieren gezielt europäische Länder. Ein besonderes Interesse liegt dabei an der Slowakei, aber auch Kroatien, Tschechien und andere Ländern waren betroffen. ESET-Forscher analysierten die bei diesen Angriffen verwendete Malware und fanden heraus, dass sie mit bekannten Malware-Familien verknüpft war, die der Ke3chang-Gruppe zugeschrieben wurden.
Details und weitere Informationen finden sich auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/07/18/okrum-backdoor-diplomatische-einrichtungen-europa/