Operation Ghost: The Dukes Malware‑Update

In diesem Beitrag berichten ESET-Forschende über die jüngsten Aktivitäten der berüchtigten Spionage-Gruppe The Dukes – dazu zählen die drei neue Malware-Familien.

The Dukes (aka APT29 & Cozy Bear) standen nach der mutmaßlichen Beteiligung an der Datenpanne des Demokratisches Nationalkomitees im Vorfeld der US-Wahlen 2016 im Rampenlicht. Bis auf ein vermutliches Comeback im November 2018 (Phishing-Kampagne gegen mehrere US-Unternehmen) blieb es ruhig um die „The Dukes“ Cyber-Kriminellen. Man hätte zu dem Schluss kommen können, dass die Gruppe ihre Aktivitäten möglicherweise eingestellt hatte.

Dieser Gedanke hielt bis vor ein paar Monaten an. Wir entdeckten drei neue Malware-Familien, die wir den „The Dukes“ zuschreiben – PolyglotDuke, RegDuke and FatDuke. Die Malware-Tools kamen erst vor Kurzem zum Einsatz. Das von uns zuletzt analysierte Sample stammt vom Juni 2019. Das bedeutet, dass die Dukes seit dem Jahr 2016 recht aktiv sind. Sie entwickelten neue Malware und kompromittierten hochkarätige Ziele. Wir bezeichnen die neu aufgedeckten „The Dukes“-Aktivitäten als Operation Ghost.

Zeitlicher Verlauf und Viktimologie

Wir gehen davon aus, dass Operation Ghost bereits im Jahr 2013 seinen Anfang nahm und bis heute andauert. Unsere Untersuchungen zeigen, dass Außenministerien in mindestens drei verschiedenen Ländern Europas von dieser Kampagne betroffen sind. Wir entdeckten auch eine Infiltration einer Botschaft von Washington DC in einem Land der Europäischen Union.

Eine der ersten öffentlichen Spuren dieser Malware-Kampagne ist auf Reddit zu finden. Abbildung 1 zeigt einen Eintrag der Angreifer vom Juli 2014. Die seltsame Zeichenfolge mit ungewöhnlichem Zeichensatz ist die codierte URL des von PolyglotDuke verwendeten C&C-Servers.

Abbildung 2 zeigt den zeitlichen Verlauf von Operation Ghost. Da es auf der ESET-Telemetrie basiert, ist es möglicherweise nur ein Teilabbildung einer breiteren angelegten Kampagne.

Warum wir Operation Ghost der „The Dukes“-Gang zuschreiben

Bei den Untersuchungen stellten wir zahlreiche Ähnlichkeiten zwischen den Taktiken der kürzlich festgestellten Malware-Kampagnen und der älteren fest:

• Twitter (und andere soziale Websites wie Reddit) zum „Hosten“ von C&C-URLs
• Steganographie in Bildern, um Payloads oder die C&C-Kommunikation zu verbergen
• Windows Management Instrumentation (WMI) zum Erlangen von Persistenz

Außerdem bemerkten wir Ähnlichkeiten im Angriffsverhalten:

• Alle bekannten Ziele sind Außenministerien.
• Die uns bekannten Ziele wurden zuvor durch andere Malware von den The Dukes (etwa durch CozyDuke, OnionDuke oder MiniDuke) kompromittiert.
• Auf einigen mit PolyglotDuke und MiniDuke kompromittierten Rechnern bemerkten wir, dass man CozyDuke erst einige Monate zuvor aufspielte.

Die Existenz von bekannten Dukes-Tools auf denselben Computern lässt allerdings nicht zu, dass man eine Kompromittierung der Rechner ausschließlich der „The Dukes“ Malware-Gruppe zuschreiben kann. Auf denselben Computern entdeckten wir auch Malware zweier anderer Cyber-Gangs – Turla und Sednit.

Dennoch fanden wir starke Code-Ähnlichkeiten zwischen bereits dokumentierten The Dukes Malware-Samples und denen aus Operation Ghost. Es ist aber auch nicht auszuschließen, dass hier eine andere Malware Cyber-Gruppierung unter falscher Flagge agiert.

Die Malware-Kampagne begann, als nur sehr wenig über die The Dukes Malware-Tools bekannt war. Aus dem Jahr 2013 stammt das erste bekannte Kompilierungsdatum für PolyglotDuke. Zu der Zeit waren nur Einzelheiten zu MiniDuke dokumentiert und Analysten von Cyberbedrohungen waren sich der Bedeutung von The Dukes noch nicht recht bewusst. Wir glauben, dass Operation Ghost parallel zu anderen Kampagnen lief, aber bisher weitgehend unentdeckt bleiben konnte.

PolyglotDuke (SHA-1: D09C4E7B641F8CB7CC86190FD9A778C6955FEA28) benutzt einen maßgeschneiderten Verschlüsselungsalgorithmus, um die Strings der Malware zu entschlüsseln. Wir entdeckten einen auf die Funktionsweise bezogenen äquivalenten Code in einem OnionDuke Sample (SHA-1: A75995F94854DEA8799650A2F4A97980B71199D2), was F-Secure im Jahr 2014 dokumentierte. Es ist interessant, dass der Wert, der zum Seeden der srand-Funktion verwendet wird, der Kompilierungszeitstempel der ausführbaren Datei ist. Beispielsweise entspricht 0x5289f207 dem Timestamp Montag 18 Nov 2013 10:55 UTC.

Die IDA-Screenshots in Abbildung 3 zeigen die beiden ähnlichen Funktionen.

Kürzlich entdeckte MiniDuke Backdoor-Samples weisen Ähnlichkeiten mit Samples aus dem Jahr 2014 auf. Abbildung 4 zeigt einen Vergleich einer Funktion von einem aus dem Jahr 2014 von Kaspersky beschriebenen MiniDuke Backdoor-Sample (SHA-1: 86EC70C27E5346700714DBAE2F10E168A08210E4) und einem MiniDuke Backdoor-Sample (SHA-1: B05CABA461000C6EBD8B237F318577E9BCCD6047), das im August 2018 kompiliert wurde.

In Anbetracht der zahlreichen Gemeinsamkeiten mit anderen bekannten „The Dukes“-Kampagnen und Operation Ghost, vor allem aber die starken Code-Ähnlichkeiten und die zeitliche Überschneidung mit früheren Kampagnen lassen und zu dem Schluss kommen, dass The Dukes die Verantwortung für die Kompromittierungen tragen.

Aktualisierte Tools und Techniken

The Dukes griffen für Operation Ghost auf eine begrenzte Anzahl von Malware-Tools zurück. Allerdings stützten sie ihre Cyberangriffe auf zahlreiche interessante Taktiken, um lange unentdeckt zu bleiben.

Zunächst einmal legten sie eine gewisse Hartnäckigkeit an den Tag. Die Cyberkriminellen stahlen Anmeldeinformationen, um ein Netzwerk seitwärts auszukundschaften. Wir stellten fest, dass man administrative Logins verwendete, um Computer im selben Netzwerk zu kompromittieren oder erneut zu infiltrieren. Aus diesem Grund sollte man bei einer „The Dukes“-Kompromittierung sicherstellen, dass jegliche fremd aufgespielte Malware innerhalb kürzester Zeit vollständig von allen Computern gelöscht wird. Ansonsten verwenden die Cyberangreifer einfach ein zurückgebliebenes Malware-Implant, um sich wieder Zugang zu den gesäuberten Systemen zu verschaffen.

Die The Dukes entwickelten vier ausgereifte Malwares:

• PolyglotDuke: greift auf Twitter und andere Webseiten wie Reddit und Imgur zurück, um an C&C-URLs zu gelangen. Mit Hilfe von Stenographie in Bildern kommuniziert die Malware mit den C&C-Servern.
• RegDuke: Eine Recovery First Stage gebraucht Dropbox als C&C-Server. Die Hauptnutzlast liegt verschlüsselt auf der Festplatte und der Verschlüsselungsschlüssel in der Windows Registry. Auch diese Malware greift auf Stenographie zurück.
• MiniDuke: Die Second Stage ist eine einfache in Assembler geschriebene Backdoor – vergleichbar mit älteren MiniDuke Backdoors.
• FatDuke: Die Third Stage ist eine ausgefeilte Backdoor mit vielen Funktionen und flexibler Konfiguration. Der Backdoor-Code ist mit Hilfe vieler „Opaque Predicates“ verschleiert. Durch häufige Re-Kompilierung und Veränderung der Verschleierung entging man einer Erkennung durch Virenprogrammen.

Abbildung 5 zeigt eine Zusammenfassung der Malwares von Operation Ghost.

Unsere Untersuchungen zeigten außerdem, dass die The Dukes für jede angegriffene Organisation auf eine andere C&C-Netzwerkinfrastruktur zurückgriffen. Diese Art der Aufteilung wird ansonsten nur von sehr sorgfältigen Cyberkriminellen vorgenommen. Falls eine Organisation die Kompromittierung entdeckt haben sollte, verhindert die Segmentierung der The Dukes, dass die ganze Malware-Kampagne beendet wird.

Fazit

Selbst wenn eine Cyber-Spionage-Gruppe für viele Jahre aus den News-Meldungen verschwindet, bedeutet das nicht, dass sie das Spionieren einstellten. Die The Dukes konnten in den vergangenen Jahren hochkarätige Ziele weitestgehend unbemerkt kompromittieren.

Eine umfassende Liste von Indikatoren einer Kompromittierung (Indicators of Compromise, IoCs) und Malware-Samples finden Sie im Whitepaper sowie auf GitHub.

Auch detaillierte Analysen zu den Backdoors findet man im Whitepaper. Fragen oder Malware-Samples können an threatintel@eset.com eingereicht werden.