Die hinterhältigste Hackergruppe des Kremls nutzt russische ISPs, um Spyware zu platzieren

Die russische staatliche Hackergruppe Turla hat einige der innovativsten Hackerangriffe in der Geschichte der Cyberspionage durchgeführt. Sie versteckte die Kommunikation ihrer Schadsoftware über Satellitenverbindungen oder kaperte die Operationen anderer Hacker, um ihre eigene Datenabsaugung zu verschleiern . Wenn sie jedoch in ihrem Heimatgebiet operierten, versuchten sie es mit einer ebenso bemerkenswerten, wenn auch direkteren Methode: Sie nutzten offenbar ihre Kontrolle über Russlands Internetdienstanbieter, um Spyware direkt auf den Computern ihrer Opfer in Moskau zu platzieren.

Ein auf Hackerangriffe spezialisiertes Sicherheitsforschungsteam von Microsoft veröffentlichte heute einen Bericht über eine heimtückische neue Spionagetechnik der mutmaßlich zum Kreml-Geheimdienst FSB gehörenden Gruppe Turla. Die Gruppe, die auch als Snake, Venomous Bear oder unter Microsofts eigenem Namen Secret Blizzard bekannt ist, nutzte offenbar ihren staatlich genehmigten Zugang zu russischen Internetanbietern, um den Internetverkehr zu manipulieren und Opfer ausländischer Botschaften in Moskau dazu zu verleiten, die Schadsoftware der Gruppe auf ihren PCs zu installieren. Die Spyware deaktivierte anschließend die Verschlüsselung auf den Rechnern der Opfer, sodass die von ihnen über das Internet übertragenen Daten unverschlüsselt blieben. Ihre Kommunikation und Zugangsdaten wie Benutzernamen und Passwörter waren somit der Überwachung durch eben diese Internetanbieter – und alle mit ihnen kooperierenden staatlichen Überwachungsbehörden – ausgesetzt.

Sherrod DeGrippo, Microsofts Direktor für Threat Intelligence Strategy, sagt, die Technik stelle eine seltene Mischung aus gezieltem Hacking zu Spionagezwecken und dem älteren, eher passiven Ansatz staatlicher Massenüberwachung dar, bei dem Geheimdienste Daten von Internetanbietern und Telekommunikationsanbietern sammeln und durchforsten, um Ziele zu überwachen. „Dadurch verschwimmt die Grenze zwischen passiver Überwachung und tatsächlichem Eindringen“, so DeGrippo.

Für diese spezielle Gruppe von FSB-Hackern, so DeGrippo, stelle dies zudem eine mächtige neue Waffe in ihrem Arsenal dar, um jeden innerhalb der russischen Grenzen anzugreifen. „Es zeigt möglicherweise, dass sie die russische Telekommunikationsinfrastruktur als Teil ihres Werkzeugkastens betrachten“, sagt sie.

Laut Microsoft-Forschern nutzt Turlas Technik eine bestimmte Webanfrage von Browsern, wenn sie auf ein sogenanntes Captive Portal stoßen. Dabei handelt es sich um Fenster, die üblicherweise zum Abschotten des Internetzugangs in Umgebungen wie Flughäfen, Flugzeugen oder Cafés, aber auch in manchen Unternehmen und Behörden verwendet werden. Unter Windows greifen diese Captive Portale auf eine bestimmte Microsoft-Website zu, um zu überprüfen, ob der Computer des Nutzers tatsächlich online ist. (Es ist unklar, ob es sich bei den Captive Portalen, die zum Hacken der Turla-Opfer verwendet wurden, tatsächlich um legitime Portale handelte, die routinemäßig von den Zielbotschaften genutzt wurden, oder um solche, die Turla den Nutzern im Rahmen seiner Hacking-Technik auferlegte.)

Turla nutzte seine Kontrolle über die ISPs, die bestimmte Mitarbeiter ausländischer Botschaften mit dem Internet verbinden, und konnte Ziele so umleiten, dass ihnen eine Fehlermeldung angezeigt wurde, die sie aufforderte, ein Update der kryptografischen Zertifikate ihres Browsers herunterzuladen, bevor sie auf das Internet zugreifen konnten. Als ein ahnungsloser Benutzer zustimmte, installierte er stattdessen eine Schadsoftware namens ApolloShadow, die – etwas unerklärlich – als Sicherheitsupdate von Kaspersky getarnt ist.

Die ApolloShadow-Malware deaktivierte dann im Wesentlichen die Verschlüsselung des Browsers und entfernte stillschweigend den kryptografischen Schutz aller vom Computer gesendeten und empfangenen Webdaten. Diese relativ einfache Zertifikatsmanipulation sollte laut DeGrippo wahrscheinlich schwerer zu erkennen sein als eine voll funktionsfähige Spyware, und dennoch das gleiche Ergebnis erzielen.

„Das ist ein kreativer Ansatz: ‚Was wäre, wenn wir einfach auf den ISP zugreifen, über den sie sich verbinden, und diese Kontrolle nutzen, um die Verschlüsselung abzuschalten?‘“, beschreibt sie Turlas Gedanken. „Auf diesem Weg erhalten sie eine riesige Menge an Klartextverkehr, der wahrscheinlich für Spionagezwecke genutzt werden kann, da er von hochsensiblen Personen und Organisationen wie Botschaften und diplomatischen Vertretungen stammt.“

Die Details der Funktionsweise von Turlas ISP-basierter Umleitungstechnik sind noch lange nicht klar. Microsoft schreibt in seinem Bericht jedoch, dass das Unternehmen wahrscheinlich das SORM-System des Kremls zur Überwachung und Überwachung von ISP- und Telekommunikationskommunikation nutzt. Dieses jahrzehntealte System wurde ursprünglich vom FSB entwickelt und wird heute vom russischen Inlandsgeheimdienst und den Strafverfolgungsbehörden weithin eingesetzt.

Microsoft wollte sich nicht dazu äußern, welche Botschaften in Moskau Ziel der Kampagne waren und wie viele es waren. DeGrippo weist jedoch darauf hin, dass Microsoft die identifizierten Opfer gewarnt habe. Turlas Verwendung von Kaspersky-Software als Deckmantel für seine Malware-Installationstechnik deutet darauf hin, dass die US-Botschaft möglicherweise nicht das Ziel war, da Kaspersky-Software auf US-Regierungssystemen verboten ist. Microsoft wollte sich nicht dazu äußern, ob die US-Botschaft das Ziel war.

Microsoft gab nicht bekannt, wie die Hackerkampagne konkret mit Turla in Verbindung gebracht wurde – eine typische, verschwiegene Haltung des Sicherheitsteams des Unternehmens, das seine Quellen und Methoden oft nicht preisgibt, um Hackern nicht zu helfen, unentdeckt zu bleiben. „Diesen Bedrohungsakteur beobachten wir schon seit langer Zeit genau“, sagt DeGrippo.

Turla ist seit Jahrzehnten für seine innovativen Hacking-Methoden bekannt , von USB-basierten Würmern zum Eindringen in Air-Gap-Systeme bis hin zum Huckepack-Angriff auf die Botnetze von Cyberkriminellen. ApolloShadow ist vermutlich nicht das erste Mal, dass die Gruppe ISPs kapert, um Schadsoftware einzuschleusen. Das slowakische Cybersicherheitsunternehmen ESET hat auf eine möglicherweise ähnliche Technik hingewiesen, mit der Opfer mit gefälschten Flash-Installern infiziert wurden . Dasselbe Unternehmen hat außerdem einen vermutlich ähnlichen Trick der Hacker des belarussischen KGB dokumentiert und gezeigt, wie die kommerzielle Spyware FinFisher wahrscheinlich über denselben ISP-Zugriff auf den Geräten der Zielpersonen installiert wurde. Turlas jüngste Kampagne wäre jedoch das erste Mal, dass eine ISP-basierte Infektion verwendet wurde, um die Verschlüsselung auf den Zielcomputern zu deaktivieren – eine potenziell heimlichere Form der Spionage.

Microsoft-Experte DeGrippo weist darauf hin, dass Turlas Technik unter anderem deshalb so effektiv ist, weil sie keine spezifischen Software-Schwachstellen ausnutzt und daher nicht gepatcht werden kann. „Es werden keine Zero-Day- oder andere Schwachstellen ausgenutzt“, so DeGrippo. „Es geht darum, in die Netzwerkinfrastruktur des Ziels einzudringen und von dort aus die Kontrolle zu übernehmen.“

Dennoch empfiehlt Microsoft potenziellen Opfern von Turlas ISP-basierter Spionagetechnik einige Abwehrmaßnahmen: Verwenden Sie beispielsweise ein VPN, um Ihren Internetverkehr vor Ihrem Internetdienstanbieter zu schützen, oder nutzen Sie eine Satellitenverbindung, um einen nicht vertrauenswürdigen ISP vollständig zu umgehen. Auch die Multifaktor-Authentifizierung kann den Zugriff von Hackern einschränken, selbst wenn sie erfolgreich Benutzernamen und Passwort eines Opfers gestohlen haben.

DeGrippo argumentiert, dass Turlas Einsatz dieser Technik zur Inlandsspionage in Russland allen eine Warnung sein sollte, die in einem Land mit einer nicht vertrauenswürdigen Kommunikationsinfrastruktur reisen, leben oder arbeiten. Ähnliche Hacking-Methoden auf ISP-Ebene, so DeGrippo, könnten problemlos von anderen Cyberspionage-Gruppen weltweit übernommen und überall dort eingesetzt werden, wo die nationale Internet- und Telekommunikationsinfrastruktur potenziell dem Willen der Geheimdienste des jeweiligen Landes unterworfen ist.

„Wenn Sie ein Ziel von Interesse sind und in Ländern reisen oder arbeiten, in denen es staatlich ausgerichtete ISPs gibt, die möglicherweise über Überwachungsbefugnisse oder die Möglichkeit zum rechtmäßigen Abhören verfügen“, sagt DeGrippo, „müssen Sie sich darüber Gedanken machen.“