LABSCON – Scottsdale, Arizona – Ein neuer Bedrohungsakteur, der ein Telekommunikationsunternehmen im Nahen Osten und mehrere Internetdienstanbieter und Universitäten im Nahen Osten und in Afrika infiziert hat, ist für zwei „extrem komplexe“ Malware-Plattformen verantwortlich – aber viel über die Gruppe, die geheimnisumwittert bleibt, laut neuen Forschungsergebnissen, die heute hier enthüllt wurden.
Forscher von SentintelLabs, die ihre Erkenntnisse auf der allerersten Sicherheitskonferenz LabsCon geteilt haben, nannten die Gruppe Metador, basierend auf dem Satz „I am meta“, der im bösartigen Code vorkommt, und der Tatsache, dass die Servermeldungen typischerweise auf Spanisch sind. Es wird angenommen, dass die Gruppe seit Dezember 2020 aktiv ist, aber in den letzten Jahren erfolgreich unter dem Radar geflogen ist. Juan Andrés Guerrero-Saade, Senior Director von SentinelLabs, sagte, das Team habe Informationen über Metador mit Forschern anderer Sicherheitsfirmen und Regierungspartnern geteilt, aber niemand wisse etwas über die Gruppe.
Die Guerrero-Saade- und SentinelLabs-Forscher Amitai Ben Shushan Ehrlich und Aleksandar Milenkoski veröffentlichten a Blog-Post und technische Details über die beiden Malware-Plattformen metaMain und Mafalda, in der Hoffnung, weitere infizierte Opfer zu finden. „Wir wussten, wo sie waren, nicht wo sie jetzt sind“, sagte Guerrero-Saade.
MetaMain ist eine Hintertür, die Maus- und Tastaturaktivitäten protokollieren, Screenshots machen und Daten und Dateien exfiltrieren kann. Es kann auch verwendet werden, um Mafalda zu installieren, ein hochgradig modulares Framework, das Angreifern die Möglichkeit bietet, System- und Netzwerkinformationen und andere zusätzliche Funktionen zu sammeln. Sowohl metaMain als auch Mafalda arbeiten vollständig im Speicher und installieren sich nicht selbst auf der Festplatte des Systems.
Politischer Comic
Es wird angenommen, dass der Name der Malware von Mafalda inspiriert wurde, einem beliebten spanischsprachigen Cartoon aus Argentinien, der regelmäßig politische Themen kommentiert.
Metador richtet für jedes Opfer eindeutige IP-Adressen ein und stellt sicher, dass der Rest der Infrastruktur betriebsbereit bleibt, selbst wenn ein Befehl und eine Kontrolle aufgedeckt werden. Das macht es auch extrem schwierig, weitere Opfer zu finden. Es ist oft der Fall, dass Forscher, wenn sie eine Angriffsinfrastruktur aufdecken, Informationen finden, die mehreren Opfern gehören – was hilft, das Ausmaß der Aktivitäten der Gruppe aufzuzeigen. Da Metador seine Zielkampagnen getrennt hält, haben Forscher nur einen begrenzten Einblick in die Operationen von Metador und auf welche Art von Opfern die Gruppe abzielt.
Was die Gruppe jedoch nicht zu stören scheint, ist die Vermischung mit anderen Angriffsgruppen. Das Telekommunikationsunternehmen aus dem Nahen Osten, das eines der Opfer von Metador war, wurde bereits von mindestens 10 anderen nationalstaatlichen Angriffsgruppen kompromittiert, fanden die Forscher heraus. Viele der anderen Gruppen schienen mit China und dem Iran verbunden zu sein.
Mehrere Bedrohungsgruppen, die auf dasselbe System abzielen, werden manchmal als „Bedrohungsmagneten“ bezeichnet, da sie die verschiedenen Gruppen und Malware-Plattformen gleichzeitig anziehen und hosten. Viele nationalstaatliche Akteure nehmen sich die Zeit, um Infektionsspuren durch andere Gruppen zu beseitigen, gehen sogar so weit, die Schwachstellen der anderen Gruppen zu flicken, bevor sie ihre eigenen Angriffsaktivitäten durchführen. Die Tatsache, dass Metador Malware auf einem System infiziert hat, das bereits (wiederholt) von anderen Gruppen kompromittiert wurde, deutet darauf hin, dass es der Gruppe egal ist, was die anderen Gruppen tun würden, sagten die SentinelLabs-Forscher.
Es ist möglich, dass das Telekommunikationsunternehmen ein so hochwertiges Ziel war, dass die Gruppe bereit war, das Risiko einer Entdeckung einzugehen, da die Anwesenheit mehrerer Gruppen auf demselben System die Wahrscheinlichkeit erhöht, dass das Opfer etwas Falsches bemerkt.
Hai attacke
Während die Gruppe äußerst gut ausgestattet zu sein scheint – wie die technische Komplexität der Malware, die fortschrittliche Betriebssicherheit der Gruppe, um der Entdeckung zu entgehen, und die Tatsache, dass sie sich in aktiver Entwicklung befindet – belegen, warnte Guerrero-Saade, dass dies nicht genug sei festzustellen, dass es eine Beteiligung der Nationalstaaten gab. Es ist möglich, dass Metador das Produkt eines Auftragnehmers ist, der im Auftrag eines Nationalstaats arbeitet, da es Anzeichen dafür gibt, dass die Gruppe hochprofessionell war, sagte Geurrero-Saade. Und die Mitglieder könnten bereits Erfahrung mit der Durchführung dieser Art von Angriffen auf dieser Ebene haben, bemerkte er.
„Wir betrachten die Entdeckung von Metador als eine Haiflosse, die die Wasseroberfläche durchbricht“, schrieben die Forscher und stellten fest, dass sie keine Ahnung haben, was darunter passiert. „Es ist ein Grund zur Vorahnung, der die Notwendigkeit für die Sicherheitsindustrie untermauert, proaktiv darauf hinzuarbeiten, die wahre Oberschicht von Bedrohungsakteuren zu erkennen, die derzeit ungestraft Netzwerke durchqueren.“
