Malware Furtim’s Parent besitzt keine SCADA-Intelligenz

CyberkriminalitätSicherheit

Furtim’s Parent oder SFG wurde bereits als Neuauflage von Stuxnet gehandelt. Allerdings bezweifelt jetzt ein weiteres Sicherheitsunternehmen, dass die Malware auf die Energiebranche abziel. Gefährlich ist der Schädling dennoch.

Eine neue und ausgeklügelte Malware macht derzeit die Runde. Die Attacke wird SFG oder Furtim’s Parent genannt. Inzwischen hat sich neben SentinelOne auch das IT-Sicherheitsunternehmen Damballa dazu zu Wort gemeldet. Damballa allerdings widerspricht der Darstellung, es handle sich um einen gezielten, staatlich initiierten Angriff auf Energieversorger nach dem Muster von Stuxnet. Bei Furtim’s Parent handelt es sich laut Damballa vielmehr um einen herkömmlichen Schädling, der aber über Funktionen verfügt, die in dieser Raffinesse bislang nicht bekannt waren.

Im Wesentlichen sei die Malware ein Backdoor-Trojaner, der Daten filtert und weiteren Schadcode nachladen kann. Über eine SCADA-Intelligenz, über die sich Energieversorger-Unternehman angreifen ließen, scheint SFG/Furtim jedoch nicht zu verfügen.

(Bild: SentinelOne)
Furtim’s Parent tritt selbst meist nicht als Schädling auf, sondern ruft andere Programme auf, um Schadcode auszuführen, wie hier im Bild die cmd.exe /c reg.exe. (Bild: SentinelOne)

SentinelOne hatte den Schädling vor einigen Wochen bei einem europäischen Energieunternehmen entdeckt. Der Security-Spezialist hatte damals erklärt, dass es sich dabei “sehr wahrscheinlich” um das Werk einer Organisation handle, die über die Unterstützung von staatlichen Stellen verfügt.

Sicherheitsunternehmen Damballa legt nun allerdings eine weitere Untersuchung des Schädlings vor. Das Unternehmen nennt die Malware allerdings nicht Furtim´s Parent, sondern SFG. Inzwischen scheint es jedoch erwiesen zu sein, dass es sich in beiden Fällen um die gleiche Schadsoftware-Familie handelt.

“Es gibt hier keinen spezifischen Code, um industrielle Kontrollsysteme oder SCADA-Installationen anzugreifen”, teilt Damballa in einem Blog mit. Auch sei der Schädling SFG keine Malware einer staatlichen Operation und es sei auch kein gezielter Angriff auf einen bestimmten Sektor zu erkennen.

Auch SentinelOne rückt man inzwischen davon ab, dass die Malware auf einen bestimmten Sektor zielt. Allerdings hatte man die Malware tatsächlich bei einem osteuropäischen Energieversorger entdeckt. Die Malware, die auf Windows-Rechner abziele, mische jedoch mehrere Technologien, um sich gegen die Entdeckung durch verschiedene Sicherheits-Tools und auch gegen moderne Endpunkt-Lösungen mit Sandboxing-Funktionalitäten zu wehren.

Der finale Payload von Furtim's Parent. (Bild: Sentinel One)
Der finale Payload von Furtim’s Parent. (Bild: Sentinel One)

Die Malware basiere auf einem “Kitchen-Sink”-Ansatz, um so zu erkennen, ob sich die Malware in einer Sandbox befindet. Beide Unternehmen stufen die Malware inzwischen als ‘beeindruckende’ Schadsoftware ein. Um sich dem Zugriff von Malware-Filtern zu entziehen, verwendet SFG “Dark Clou” oder Fluxxy. Dieses Bot-Netzwerk ist ein virtuelles “Fast-Flux DNS”-Netz, über das es der Schädling schafft, sich der Entdeckung durch Filter und anderen Schutzmechanismen zu entziehen.

Wie der Sicherheitsexperte Brian Krebs einem Blog beschreibt, nutze SFG die Fähigkeit dieses Bot-Netzes, alle drei Minuten neue IP-Adressen zu generieren. Das helfe der Schadsoftware dabei, sich dem Zugriff von diesbezüglichen Filtertechnologien zu entziehen.

Kriminelle haben sich bislang offenbar damit begnügt, über diese Infrastruktur Online-Shops für gestohlene Kreditkarteninformationen zu betreiben, sowie Spam oder anderen Content darüber zu verbreiten.

Obwohl Furtim/SFG nicht auf eine bestimmte Branche abzielt, könne er in allen Branchen und eben auch in der Energiebrache für erheblichen Schaden sorgen. In der Einschätzung von Damballa heißt es auch, dass diese Fast-Flux-Infrastruktur sich zu einer erheblichen Bedrohung entwickeln könnte.

Sicherheitsexperte Noah Dunker erklärt zu dieser Fast-Flux-Infrastruktur: “Derzeit sind es etwa 2000 infizierte Endpunkte, vor allem Breitbankunden aus Osteuropa, die zu diesem Botnet versklavt wurden. Es ist hochfunktionell und es fühlt sich ein wenig so an wie eine Schwarzmarkt-Version von Amazon Web Services.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen