Talos Intelligence, das kommerzielle Threat-Intelligence-Team des Softwareanbieters Cisco, sagte am Dienstag (21. September), es habe eine zuvor nicht dokumentierte Hintertür identifiziert, die auf die afghanische Regierung abzielt, bevor die westlichen Truppen Ende August aus dem Land abgezogen werden.
Talos identifizierte durch forensische Analysen eine Hintertür der „zweiten Chance“, die es „mit mäßigem Vertrauen“ als der russischen Hacker-Gruppe Turla zugehörig betrachtet. Außer in Afghanistan hat Talos die gleiche Malware auch in den USA und in Deutschland identifiziert.
Die Hintertür wurde auf infizierten Computern installiert, falls die Haupt-Malware identifiziert und entfernt wurde. Die Spyware lief unter dem Namen eines bestehenden Windows-Dienstes und schaffte es, von Anti-Malware-Systemen unentdeckt zu bleiben. Die Hintertür ermöglichte es dem Eindringling, Dateien hochzuladen, herunterzuladen oder auszuführen.
Turla ist ein bekanntes Kollektiv mit Sitz in Russland, das sich auf Spionage konzentriert. Es wird angenommen, dass es in den letzten zwei Jahrzehnten mit vielen hochrangigen Operationen verbunden war.
DeObwohl sie von der Sicherheitsindustrie berüchtigt und streng überwacht wurde, konnte sie diese Hintertür fast zwei Jahre lang unbemerkt nutzen.
„In diesem Fall war es Turla, aber es spricht für einen größeren Trend. Unabhängig vom Kenntnisstand des Angreifers ist ein einfacher Zugriff der Schlüssel zur Maximierung des Wertes. Wir sehen, dass diese Art von leichten Backdoors oder Remote-Access-Trojanern fallen gelassen werden, in der Hoffnung, den Wert des Kompromisses zu maximieren“, erklärte ein Talos-Sprecher.
„Dies ist eine laufende Untersuchung, und wir werden weitere Details mitteilen, sobald sie ans Licht kommen“, fügte der Sprecher hinzu.
[Edited by Zoran Radosavljevic and Frédéric Simon]