Spionage-Ring Sednit nutzt Exploits von Hacking Team

Der berüchtigte Spionage-Ring Sednit nutzt seit neuestem Exploits von der italienischen Firma Hacking Team, die in der vergangenen Woche offengelegt wurden.

Über 400GB an internen Informationen gelangten dabei an die Öffentlichkeit. Auf ihrer Webseite schreiben Hacking Team, dass sie „benutzerfreundliche, offensive Technologien für die Polizei- und Geheimdienst-Communities“ entwickeln und verkaufen. Die offengelegten Daten beinhalten eine ganze Reihe an Informationen – von Geschäftsangeboten bis hin zu den Quellcodes der Software, die sie verkaufen.

Von den veröffentlichten Daten haben vor allem zwei Entwicklungsprojekte unsere Aufmerksamkeit erregt:

  1. Ein Flash-Exploit, das auf die Schwachstelle CVE-2015-5119 Diese Sicherheitslücke wurde am 8. Juli von Adobe repariert, was allerdings bedeutet, dass es sich bis dato um ein Zero Day handelte. Mit dem Exploit können Angreifer ferngesteuert beliebigen Code ausführen, sobald das Opfer eine speziell gefertigte Flash-Datei öffnet. Bemerkenswerterweise ist der Exploit bei allen gängigen Browsern und auch in Microsoft Office Dokumenten (Windows, Excel, PowerPoint) einsetzbar. Die offengelegten Daten von Hacking Team beinhalten darüber hinaus diverse Tools, um den Flash-Exploit zu manipulieren. Deshalb ist es auch keine Überraschung, dass er ziemlich schnell in verschiedene Exploit Kits integriert wurde, wie der Security Researcher Kafeine berichtet. Zudem ist nun ein Metasploit Modul verfügbar.
  2. Ein Exploit zur Rechteausweitung auf Windows-Systemen – die entsprechende Schwachstelle wurde noch nicht behoben. Mithilfe dieses Exploits können Angreifer Programme mit maximalen Rechten ausführen.

Die offengelegten Daten von Hacking Team bieten also eine komplette Exploitation Chain, beginnend beim Flash-Exploit, mit dem ein System kompromittiert werden kann bis hin zum Exploit zur Rechteausweitung bei Windows, der es ermöglicht, die Payload mit weitreichenden Rechten auszuführen.

ESET hat diese Woche entdeckt, dass der berüchtigte Spionage-Ring Sednit darum bemüht war, die Exploits von Hacking Team in ihre Sammlung mitaufzunehmen. Diese Gruppe, auch bekannt als APT28 oder Fancy Bear, greift schon seit 2006 immer wieder verschiedene Institutionen an, um diese auszuspionieren. Dafür entwickeln sie ihre eigene Software, einschließlich spezialisierter Spionage-Software und Exploit Kits.

Am Mittwoch den 8. Juli begann Sednit damit, den Flash-Exploit von Hacking Team in ihrem Exploit Kit zu nutzen. Opfer sahen sich daraufhin der folgenden Angriffsabfolge ausgesetzt:

  1. Das Opfer erhält eine Spear-Phishing-E-Mail mit einer URL, die einem legitimen Domainnamen entlehnt ist. In diesem speziellen Fall wurde die Domain „osce-press.org“ verwendet, die auf die legitime „osce.org/press“ anspielt.
  2. Klickt das Opfer auf die URL, öffnet der Browser eine Landing Page mit einem JavaScript-Code, der sodann detaillierte Informationen auf dem Computer sammelt.
  3. Entspricht der Computer bestimmten, von der Gruppe zuvor festgelegten Kriterien (Sprache, Zeitzone usw.), liefert der Server einen Exploit aus. Seit Mittwoch wird auch ein Flash-Exploit mit dem Namen „flash_video_x86.swf“ eingesetzt. Der dekompilierte Code des Exploits ist nahezu identisch mit dem von Hacking Team – genauer gesagt mit der Version, die in den offengelegten Daten „scratch_ie_ff_bytearray“ getauft wurde. Der einzige Unterschied besteht scheinbar darin, dass die Version von Sednit den Shellcode über einen Parameter ähnlich wie bei Metasploit-Exploits erhält. In der Version von Hacking Team hingegen ist der Shellcode bereits in der Flash-Datei implementiert. Die folgenden Abbildungen zeigen die grundlegenden Funktionen beider Exploits.
1_HT_exploit

Abbildung 1 – Hauptfunktion des Flash-Exploits von Hacking Team

2_Sednit_exploit

Abbildung 2 – Hauptfunktion des Flash-Exploits von Sednit

  1. Funktioniert diese Ausnutzung über Flash, erhält das Opfer eine First-Stage Backdoor – eine Schadsoftware, die sicherstellt, dass das Opfer tatsächlich das intendierte Ziel ist. Diese Malware beinhaltet das Exploit zu Rechteausweitung auf Windows-Systemen von Hacking Team. Die gegebenen syntaktischen Unterschiede legen nahe, dass Sednit den Quellcode des Exploits neu kompiliert hat, allerdings ohne dessen Logik zu ändern.

Wenn der Exploit zur Rechteausweitung funktioniert, nistet sich die Malware über einen geplanten Task, der mit den höchsten Rechten ausgeführt wird, auf der Maschine ein.

Diese Geschichte zeigt, dass auch fortgeschrittene Hacker-Gruppen angepasste Strategien nutzen. Sednit hat nur wenige Tage gebraucht, um die Exploitation Chain von Hacking Team für ihre eigenen Zwecke zu adaptieren. Die Webky-Gruppe – ein weiteres APT-Team – soll in der vergangenen Woche das gleiche getan haben. Wir raten Nutzern dringend, ihre Flash-Software zu aktualisieren.

Indikatoren für ein kompromittiertes System

IndikatorWert
Domainname des Exploit Kitsosce-press.org
Sednit Flash-Exploit SHA1D43FD6579AB8B9C40524CC8E4B7BD05BE6674F6C
Sednit First-Stage Backdoor SHA151B0E3CD6360D50424BF776B3CD673DD45FD0F97
Persistence Script in der Payloadfvecer.bat
Dateiname der Payloadapi-ms-win-downlevel-profile-l1-1-0.dll
Payload SHA1B8B3F53CA2CD64BD101CB59C6553F6289A72D9BB

Autor , ESET