Unbekannte Bedrohungsakteure haben eine neue Backdoor eingesetzt, die ihre Funktionen von der plattformübergreifenden Malware-Suite Hive der U.S. Central Intelligence Agency (CIA) übernommen hat, deren Quellcode im November 2017 von WikiLeaks veröffentlicht wurde.
„Es ist das erste Mal, dass wir eine Variante des CIA-Hive-Angriffspakets in freier Wildbahn entdeckt haben, und wir haben sie xdr33 genannt, basierend auf dem eingebetteten Bot-seitigen Zertifikat CN=xdr33″, so Alex Turing und Hui Wang von Qihoo Netlab 360 in einem technischen Bericht, der letzte Woche veröffentlicht wurde.
xdr33 wird über eine Sicherheitslücke in der F5-Appliance verbreitet und kommuniziert mit einem Command-and-Control-Server (C2) über SSL mit gefälschten Kaspersky-Zertifikaten.
Nach Angaben der chinesischen Cybersecurity-Firma zielt die Backdoor darauf ab, sensible Informationen zu sammeln und als Ausgangspunkt für weitere Angriffe zu dienen. Sie verbessert Hive, indem sie neben anderen Implementierungsänderungen neue C2-Anweisungen und Funktionen hinzufügt.
Das ELF-Beispiel fungiert außerdem als Beacon, indem es in regelmäßigen Abständen System-Metadaten an den Remote-Server übermittelt und Befehle des C2 ausführt.
Dazu gehören das Herunter- und Hochladen beliebiger Dateien, das Ausführen von Befehlen mit cmd und das Starten der Shell sowie das Aktualisieren und Löschen der eigenen Spuren auf dem kompromittierten Rechner.
Die Malware enthält außerdem ein Trigger-Modul, das den Netzwerkverkehr nach einem bestimmten „Trigger“-Paket abhört, um den im Payload des IP-Pakets erwähnten C2-Server zu extrahieren, eine Verbindung herzustellen und auf die Ausführung von Befehlen des C2 zu warten.
„Nach dem Aufbau eines SSL-Tunnels verwenden der Bot und Trigger C2 einen Diffie-Hellman-Schlüsselaustausch, um einen gemeinsamen Schlüssel zu erstellen, der im AES-Algorithmus verwendet wird, um eine zweite Verschlüsselungsebene zu schaffen“, erklären die Forscher.