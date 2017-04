(Bild: Kaspersky Lab)

Russische Datendiebe haben einen schweizer Rüstungszulieferer mit Malware angegriffen, die sich auf die Moonlight-Maze-Angriffe aufs Pentagon von 1998 zurückverfolgen lässt. Ein moderner Stamm der Malware heißt TurlaPenguin und infiziert nun Linux-Server.

TurlaPenguin, eine aktuelle Malware-Infektion auf Linux-Servern, wird nun mit einer Attacke auf das Pentagon aus dem Jahr 1998 in Verbindung gebracht. Die Infektion missbraucht einen Bug, der bereits seit über 20 Jahren in Linux schlummert. Wahrscheinlich stecken staatliche russische Stellen hinter den Infektionen. Bekannt wurde der Angriff auf US-Behörden in den '90ern damals unter dem Namen Moonlight Maze. Forscher des Antiviren-Herstellers Kaspersky Lab und Thomas Rid vom Kings College in London konnten nun während einer mehrmonatigen Recherche Belege erbringen, die Moonlight Maze mit der nach wie vor laufenden TurlaPenguin-Infektionen in Verbindung bringen.

Russische Hacker

Zwischen den Angriffen 1998 wurde ein und die selbe Hacker-Kampagne seit dem unter den Namen Storm Cloud und (in den Snowden-Dokumenten) Makers Mark bezeichnet. Verantwortlich gemacht wurden seinerzeit, unter anderem vom FBI und dem US-Außenministerium, staatliche russische Eindringlinge. Thomas Rid bestätigte auf Nachfrage von heise Security, dass damals eine Handvoll Mitarbeiter von US-Behörden nach Russland reiste und sich im Anschluss fest davon überzeugt zeigten, dass Russland hinter Moonlight Maze steckt. Für die Beteiligung staatlicher Stellen spreche laut Rid unter anderem, dass die Kampagne Wissen über Satellitenkommunikation benötigte, die damals nur Behörden haben konnten.

Auch Kaspersky findet in den Belegen keine Argumente, diesen Schluss zu widerlegen. Im Gegenteil: In den jetzt analysierten Daten sind klare Beweise, dass die Aktionen durchgehend zu üblichen Bürozeiten in der Moskauer Zeitzone statt. Außerdem wurde immer der gleiche russische Internetprovider cityline.ru beziehungsweise die gleiche IP-Adresse verwendet, um beispielsweise Exploits hochzuladen

Backdoor aus der Frühzeit

Wichtigster Beweis ist das damals – und erstaunlicherweise auch teilweise heute noch – eingesetzte Tool namens Loki2. Es wurde zwischen 1994 und 2004 ständig erweitert und weiterentwickelt und wird in seiner modernen Form bei Forschern heute als PenguinTurla geführt. Die Schadsoftware nutzt eine Hintertür in Solaris beziehungsweise Linux, um die abgesaugten Daten nach draußen zu schleusen. Diese Backdoor ist bereits seit 1996 bekannt und erstaunlicherweise nach wie vor nicht gepatcht. So wurde sie auch erfolgreich im Jahr 2011 verwendet, um den schweizerischen Rüstungslieferanten RUAG auszuforschen. Laut Kaspersky wurde diese Lücke ausschließlich im Zusammenhang mit Penguin Turla beziehungsweise Moonlight Maze verwendet und noch nirgendwo anders bei Einbrüchen als Spur entdeckt.

Juan Andrés Guerrero-Saade von Kaspersky sagte auf Nachfrage von heise Security, dass es im Lauf der letzten zwanzig Jahren lediglich zu sieben Sichtungen von Schadcode gekommen sei, der mit dieser Backdoor zusammenhängt. Das liegt wohl vor allem an der Abwesenheit von Linux-Antivirensoftware liegen mag, zum anderen aber wohl auch daran, dass die staatlichen Angreifer ihren Schädling nur sehr selektiv in die Freiheit entassen. Das letzte Sample fand Kaspersky Ende März auf VirusTotal. Bekannt ist nur, dass es aus Deutschland hochgeladen wurde. Aber nicht von wem und warum.

Die Zeitkapsel im Schrank

Teil der Recherche war das Auswerten eines damals von den Angreifern zum Proxy umfunktionierten Servers aus Großbritannien. Dessen Administrator hat die Infektion erkannt und gemeinsam mit US-Behörden und der Londoner Metropolitan Police in der Folge sämtlichen Datenverkehr mitgeschnitten. Insgesamt fanden sich dabei 45 interessante Dateien. Darunter Log-Cleaner, Keylogger, Sniffer, Skripts zum Schleusen von Daten und so weiter. Den Datenschatz bewahrte der Admin in einem Schrank auf und stellt ihn jetzt Rid und Kaspersky zur Verfügung. Ergebnis der Analysen: Die Moonlight-Maze-Macher hatten insgesamt Zugriff auf rund 1600 Systeme weltweit. Die tatsächliche Zahl der Infektionen war geringer, aber durchs Ausforschen lokaler Netzwerke von einem infizierten Rechner aus konnten sie aber an deutlich mehr Server gelangen. (fab)