Sednit nennt sich eine der berüchtigtsten Hackergruppen der Welt. Seit mindestens 2004 ist die Gruppe aktiv. In den letzten zwei Jahren haben deren Cyber-Angriffe leider stark zugenommen und mittlerweile setzen sie alles daran, ihre Ziele zu verwirklichen.

ESET – ein weltweit führender Anbieter von Informationssicherheit – hat Sednit während dieser Zeit unermüdlich verfolgt. Dadurch sind sie an viele interessante Informationen gelangt. Aus den gesammelten einzigartigen Aspekten über Sednit ist eine Whitepaper-Trilogie entstanden.

Dieser Artikel bietet alle wichtigen Information zu Sednit im Überblick. Detaillierte Auswertungen finden sich in den drei Whitepapern, die wir jedem nur ans Herz legen können.

Part 1: Annäherung an das Ziel

Anhand Sednits Zielen kann die hohe Motivation und große Erfahrenheit der Hackergruppe erkannt werden. Man beachte nur folgende:

  • April 2015: TV5Monde (französischer Fernsehsender)
  • Mai 2015: Das deutsche Parlament
  • März 2016: Das amerikanische demokratische Nationalkomitee

Daraus können wir zwei Dinge ableiten. Erstens, Sednit hat es besonders auf hochkarätige Ziele abgesehen; zum Zweiten sind ihre Aktivitäten mit internationaler Geopolitik verbunden.

ESET war in der Lage, die Liste mit Angriffszielen zu finden, indem sie einen Fehler in einer der Spearphishing-Kampagnen der Gruppe aufdeckte.

Sednit verwendete den URL-Shortener-Dienst Bitly, um URLs in gezielten Phishing-E-Mails zu verkürzen. Einmal ließen sie jedoch einen ihrer Accounts versehentlich öffentlich und ESET konnte alle URLs sehen, die verkürzt wurden.

Ins Visier von Sednit fielen Einzelpersonen und Organisationen mit Gmail-Adressen, darunter Botschaften wie die von Algerien, Kolumbien, Indien, Irak, Nordkorea, Kirgisistan und den Libanon; außerdem Verteidigungsministerien in Argentinien, Bangladesch, Südkorea, Türkei und Ukraine; sowie Journalisten mit Sitz in Osteuropa; Russische politische Dissidenten; und Mitglieder von NATO-Institutionen.

ESET bemerkt, dass „die meisten der identifizierbaren Ziele eine Gemeinsamkeit aufweisen; und zwar teilen alle Betroffenen die gleiche Sichtweise auf die derzeitige politische Situation in Osteuropa.

„Die meisten der identifizierbaren Ziele weisen eine Gemeinsamkeit auf; und zwar teilen alle Betroffenen die gleiche Sichtweise auf die derzeitige politische Situation in Osteuropa.“

Im Hinblick auf die genannten Personen und Gruppen verwendete Sednit zwei Hauptangriffsmethoden, um seine schädliche Software einzuschleusen. Bei der ersten Variante sollen potenzielle Opfer davon überzeugt werden, einen schädlichen Anhang zu öffnen. Die zweite Variante sieht eine Umleitung auf eine kompromittierende Website vor. Boshafte Exploit-Kits auf dieser Website erkennen Fehler im Computersystem des Opfers und nutzen diese Schwachstellen für weitere Kompromittierungen.

Besonders interessant ist die Fähigkeit von Sednit, Zero-Day-Schwachstellen aufspüren zu können. Allein im Jahr 2015 war die Gruppe in der Lage sechs Schwachstellen auszunutzen, bevor sie geschlossen werden konnten. Für diese Vorgehensweise ist sehr viel Wissen und Geschick notwendig.

ESET schlussfolgerte: "Die Sednit-Gruppe sucht immer wieder nach neuen Wegen, ihre Ziele zu erreichen. Dabei sind opportunistische Strategien genauso Mittel zum Zweck wie die Entwicklung eigener Angriffsmethoden."

Part 2: Überwachung kompromittierter Geräte

Nachdem zunächst eine Aufklärung der potenziellen Ziele durchgeführt wurde - beispielsweise mit der Seduploader- oder Downdelph-Malware - setzte die Gruppe darauffolgend ihr Spionage-Toolkit ein. Das sollte eine langfristige Überwachung kompromittierter Geräte ermöglichen.

Die Spionage wird in der Regel durch die zwei Backdoors Sedreco und Xagent, und später über das Netzwerk-Tool Xtunnel erreicht. Ohne Zweifel sind diese drei schädlichen Anwendungen grundlegend für das Verständnis und die Erkennung vieler Aktivitäten von Sednit.

Über Xagent, dass es für Windows, Linux und iOS gibt, bemerkt ESET: „Es ist ein gut gestaltetes Backdoor und für Sednit über die vergangenen Jahre zu einer essentiellen Spionage-Malware herangewachsen. Die Möglichkeit über HTTP oder per E-Mail zu kommunizieren, macht es zu einem vielseitigen Tool für die Betreiber. "

Das aus Virus-Dropper und Nutzlast bestehende Sedreco-Virus besitzt eine sehr nützliche Hintertür. ESET beobachtete, dass Sednit dieses Tool schon seit Jahren dazu nutzt, um dynamische Befehle zu registrieren und externe Plug-Ins laden zu können.

Beim Dritten im Bunde handelt es sich um Xtunnel. Es modifiziert kompromittierte Geräte und verwandelt sie effektiv in Netzwerkknotenpunkte. ESET meint: „Wir glauben, dass Xtunnel für die Sednit-Hackergruppe von großer Bedeutung ist.“

Part 3: Geheimnisvoller Downloader

Das letzte Sednit-Whitepaper konzentriert sich auf die First-Stage-Malware Downdelph, die trotz der nur eingeschränkten Nutzung durch die Cyber-Angreifer erstaunliche Antworten auf die Frage bot, wie die Hackergruppe bestimmte Ziele erreichte.

Nach ESETs Telemetrie-Daten kam Downdelph nur siebenmal zum Einsatz. Und an dieser Stelle wird es interessant, denn Downdelph wurde nie in Kombination mit einem Bootkit oder Rootkit gesichtet. Trotzdem war diese Vorgehensweise für einige Zeit sehr erfolgreich, da sie Sednit erlaubte, unter dem Radar zu operieren.

Der Name Downdelph leitet sich von der Programmiersprache Delphi ab. Außerdem neigt der Downloader dazu, wie ein in Delphi geschriebenes Programm zu funktionieren. Zunächst wird eine Hauptkonfigurationsdatei geladen. Daraufhin liest das Programm eine Liste mit erweiterten C&C-Servern aus und lädt zusätzliche Nutzlast von den Servern.

ESET gelangt zu dem Schluss: „Wegen dem behutsamen Einsatz des Downloaders gelang es Malware-Forschern fast zwei Jahre nicht zu bemerken, dass Sednit ausgewählte Ziele über einen längeren Zeitraum ausspähte.“