Bei der Untersuchung aktueller Spionageaktivitäten in Ländern der arabischen Halbinsel haben Forscher des Sicherheitssoftware-Unternehmens ESET eine neuartige und hochentwickelte Backdoor analysiert. Die untersuchte Angriffskampagne wird der Gruppierung Stealth Falcon zugschrieben, die bereits seit 2012 gegen Journalisten, Aktivisten und Dissidenten der Vereinigten Arabischen Emirate vorgeht.
Die Deadglyph genannte Backdoor zeichnet sich insbesondere durch zwei kooperierende Programm-Komponenten aus: Bei der ersten Komponente handelt es sich um eine native x64-Datei, bei der weiteren um ein .NET-Konstrukt. In der Regel nutzen Malware-Autoren nur eine Programmiersprache, die Nutzung zweier unterschiedlicher Programmiersprachen stellt hier eine Besonderheit dar. Die Angriffe mit der Backdoor laufen in mehreren Phasen ab. Beachtenswert ist hierbei, dass auf dem System nur eine Datei namens pbrtl.dll gespeichert wird, die als Shellcode-Loader fungiert. Die übrigen Komponenten der Malware werden verschlüsselt in der Windows Registry hinterlegt. Bezüglich technischer Details und Indicators of Compromise (IoCs) zur Ermittlung der Schadsoftware wird an dieser Stelle auf die Analyse von ESET verwiesen.
Der hier skizzierte Angriffsweg mit extrem hochentwickelter Malware unterstreicht die hohen finanziellen, personellen und fachlichen
Ressourcen, über die staatlich gesteuerte Angreifer verfügen. Die bezeichneten Angriffe bleiben insbesondere bei Unternehmen und
Organisationen, die über keine ausreichenden IT-Sicherheitsmaßnahmen verfügen, oft lange Zeit unbemerkt und führen im
Gegensatz zu Cybercrime-Aktivitäten nicht zu einem direkten finanziellen Schaden. Der Schaden besteht beim nachrichtendienstlichen
Cyberangriff vielmehr im über längere Zeit andauernden Datenabfluss.
Derartige Angriffe sind leicht ausweitbar und stellen daher auch stets eine globale Gefahr dar, selbst wenn bislang nur regional beschränkt im arabischen Raum Opfer identifiziert wurden.