Hacker umgehen Air Gaps mit USB-Schadsoftware
Cyber-Attacken auf besonders gesicherte, isolierte Netzwerke gelungen
Die Hackergruppe GoldenJackal hat erfolgreich isolierte Computersysteme angegriffen, die durch sogenannte „Air Gaps“ vom Internet getrennt waren.
Wie IT-Sicherheitsforscher von ESET feststellten, konnten die Angreifer auch abgekapselte Rechner infiltrieren, indem sie eine raffinierte Schadsoftware über USB-Sticks verbreiteten. ...
Wie IT-Sicherheitsforscher von ESET feststellten, konnten die Angreifer auch abgekapselte Rechner infiltrieren, indem sie eine raffinierte Schadsoftware über USB-Sticks verbreiteten.
Bei der jüngsten Angriffsserie auf eine EU-Regierungsorganisation kam eine weiterentwickelte, modulare Version der Schadsoftware von der APT-Hackergrupp GoldenJackal ( Advanced Persistent Threats ) zum Einsatz. Die Software erlaubt es den Angreifern, Systeme gezielt für die Sammlung und Übertragung von Daten sowie für die Verteilung von Befehlen und Dateien zu steuern.
Der englische Begriff Air Gap bedeutet Luftspalt. Damit wird der Schutz eines PC-Systems bezeichnet, dass mit einem zweiten physikalisch voneinander getrennt ist, beide aber trotzdem reine Informationen (keinen Code) austauschen.
Air Gaps gelten als eine der sichersten Maßnahmen zum Schutz sensibler Netzwerke, bei der Computer komplett vom Internet isoliert werden. Kritische Infrastrukturen, wie Stromnetze oder hochsensible Regierungs- und Botschaftssysteme, nutzen diese Methode oft, um Angriffe abzuwehren.
Doch die Angriffe von GoldenJackal zeigen, dass Air Gaps nicht unüberwindbar sind. Die Hacker entwickelten Schadsoftware, die über infizierte USB-Geräte in isolierte Systeme gelangt und ohne Internetverbindung auskommt.
Der Infektionsprozess vom Internet zum Air-Gapped-System
ESET berichtet in seinem Blog, wie es der APT-Gruppe gelang, ihre Schadsoftware zu platzieren.
Die Angreifer setzen zunächst einen Wurm auf einem internetfähigen Rechner frei, der die Malware-Komponente „GoldenDealer“ verbreitet. Schließt ein Nutzer anschließend einen USB-Stick an diesen infizierten Rechner an, kopiert die Schadsoftware sich selbst auf den Stick.
Wird dieser Stick in ein isoliertes System eingesteckt, führt GoldenDealer unbemerkt Schadfunktionen aus und sammelt Informationen über das Gerät.
Beim erneuten Anschluss des Sticks an einen internetfähigen Rechner werden die erfassten Daten an einen Hacker-Server übermittelt, der weitere schadhafte Dateien an den USB-Stick sendet. Diese Dateien führen dann auf dem Air-Gapped-System Spionagebefehle aus, ohne dass der Nutzer eingreifen muss.
