Jena – ESET Forscher haben eine Gruppe identifiziert, die vertrauliche Dokumente, vor allem Navigationsrouten und militärische Koordinaten, stiehlt.
ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt. Mehr als die Hälfte der angegriffenen Computer gehört den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizei, Bildung und Aussenpolitik stehen im Fokus der Kriminellen. Rund 75 Prozent der Angriffe fanden in Venezuela statt, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen wurde. Laut ESET Forschern steckt hinter diesen Angriffen die Machete-Gruppe. Jede Woche werden Gigabytes an vertraulichen Dokumenten gestohlen. Die Kampagne ist nach wie vor aktiv, und sie findet in einer Zeit statt, in der die regionalen und internationalen Spannungen zwischen den Vereinigten Staaten und Venezuela zunehmen.
«Die Machete-Gruppe verwendet effektive Spear-Phishing-Techniken. Ihre langjährigen Cyber-Attacken, die sich auf lateinamerikanische Länder konzentrieren, haben es ihnen ermöglicht, umfassende Erkenntnisse zu sammeln und ihre Taktiken im Laufe der Jahre zu verfeinern», erklärt ESET-Forscher Matias Porolli. «Die Angreifer filtern spezielle Dateitypen, die von Geographischen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten», fügt er hinzu.
Wie laufen die Angriffe ab?
ESET-Forscher verfolgen eine neue Version von Machete (dem Toolset der Gruppe), die erstmals vor einem Jahr entdeckt wurde. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET mehr als 50 infizierte Computer, die mit Command & Control-Servern der Cyber-Spione kommunizieren. Die Gruppe führt regelmässig Änderungen an der Malware, ihrer Infrastruktur und ihren Spear-Phishing-Techniken durch.
Die Machete-Gruppe sendet hierzu sehr spezifische E-Mails direkt an ihre potenziellen Opfer, die sie dem jeweiligen Ziel anpassen. Um diese zu täuschen, verwenden Machete-Betreiber echte Dokumente, die sie zuvor gestohlen haben – zum Beispiel geheime militärische Unterlagen. Dazu gehören solche, die für die Kommunikation innerhalb des Militärs verwendet werden. Angreifer nutzen dies zusammen mit ihrem Wissen über militärische Umgangsformen, um sehr überzeugende Phishing-E-Mails zu erstellen.
Empfänger soll angehängte Datei öffnen
Der Angriff beginnt mit einer selbstentpackenden Datei, die ein Lockdokument enthält. Wird es heruntergeladen und angeklickt, installiert sich eine Backdoor. Die Hintertür besteht aus einer Spionagekomponente, die auf unbestimmte Zeit läuft, Dokumente kopiert und verschlüsselt, Screenshots macht und Tastaturanschläge aufzeichnet. Die Persistenzkomponente läuft alle 30 Minuten und installiert dabei andere Bestandteile. Auch die Kommunikation mit den Angreifern wird alle zehn Minuten gesichert, um gestohlene Daten an den Command & Control Server zu senden. Alle Bausteine missbrauchen «Google» in ihren Dateinamen, um ihre böswillige Absicht zu verbergen.
«Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt», erläutert Matias Porolli von ESET. (ESET/mc/ps)
Ein Whitepaper und weitere Informationen haben die ESET Forscher auf WeLiveSecurity bereitgestellt: https://bit.ly/2MCKn1n