Malware Furtim’s Parent besitzt keine SCADA-Intelligenz

Eine neue und ausgeklügelte Malware macht derzeit die Runde. Die Attacke wird SFG oder Furtim’s Parent genannt. Inzwischen hat sich neben SentinelOne auch das IT-Sicherheitsunternehmen Damballa dazu zu Wort gemeldet. Damballa allerdings widerspricht der Darstellung, es handle sich um einen gezielten, staatlich initiierten Angriff auf Energieversorger nach dem Muster von Stuxnet. Bei Furtim’s Parent handelt es sich laut Damballa vielmehr um einen herkömmlichen Schädling, der aber über Funktionen verfügt, die in dieser Raffinesse bislang nicht bekannt waren.

Im Wesentlichen sei die Malware ein Backdoor-Trojaner, der Daten filtert und weiteren Schadcode nachladen kann. Über eine SCADA-Intelligenz, über die sich Energieversorger-Unternehman angreifen ließen, scheint SFG/Furtim jedoch nicht zu verfügen.

Furtim’s Parent tritt selbst meist nicht als Schädling auf, sondern ruft andere Programme auf, um Schadcode auszuführen, wie hier im Bild die cmd.exe /c reg.exe. (Bild: SentinelOne)

SentinelOne hatte den Schädling vor einigen Wochen bei einem europäischen Energieunternehmen entdeckt. Der Security-Spezialist hatte damals erklärt, dass es sich dabei “sehr wahrscheinlich” um das Werk einer Organisation handle, die über die Unterstützung von staatlichen Stellen verfügt.

Sicherheitsunternehmen Damballa legt nun allerdings eine weitere Untersuchung des Schädlings vor. Das Unternehmen nennt die Malware allerdings nicht Furtim´s Parent, sondern SFG. Inzwischen scheint es jedoch erwiesen zu sein, dass es sich in beiden Fällen um die gleiche Schadsoftware-Familie handelt.

“Es gibt hier keinen spezifischen Code, um industrielle Kontrollsysteme oder SCADA-Installationen anzugreifen”, teilt Damballa in einem Blog mit. Auch sei der Schädling SFG keine Malware einer staatlichen Operation und es sei auch kein gezielter Angriff auf einen bestimmten Sektor zu erkennen.

Auch SentinelOne rückt man inzwischen davon ab, dass die Malware auf einen bestimmten Sektor zielt. Allerdings hatte man die Malware tatsächlich bei einem osteuropäischen Energieversorger entdeckt. Die Malware, die auf Windows-Rechner abziele, mische jedoch mehrere Technologien, um sich gegen die Entdeckung durch verschiedene Sicherheits-Tools und auch gegen moderne Endpunkt-Lösungen mit Sandboxing-Funktionalitäten zu wehren.

Der finale Payload von Furtim’s Parent. (Bild: Sentinel One)

Die Malware basiere auf einem “Kitchen-Sink”-Ansatz, um so zu erkennen, ob sich die Malware in einer Sandbox befindet. Beide Unternehmen stufen die Malware inzwischen als ‘beeindruckende’ Schadsoftware ein. Um sich dem Zugriff von Malware-Filtern zu entziehen, verwendet SFG “Dark Clou” oder Fluxxy. Dieses Bot-Netzwerk ist ein virtuelles “Fast-Flux DNS”-Netz, über das es der Schädling schafft, sich der Entdeckung durch Filter und anderen Schutzmechanismen zu entziehen.

Wie der Sicherheitsexperte Brian Krebs einem Blog beschreibt, nutze SFG die Fähigkeit dieses Bot-Netzes, alle drei Minuten neue IP-Adressen zu generieren. Das helfe der Schadsoftware dabei, sich dem Zugriff von diesbezüglichen Filtertechnologien zu entziehen.

Kriminelle haben sich bislang offenbar damit begnügt, über diese Infrastruktur Online-Shops für gestohlene Kreditkarteninformationen zu betreiben, sowie Spam oder anderen Content darüber zu verbreiten.

Obwohl Furtim/SFG nicht auf eine bestimmte Branche abzielt, könne er in allen Branchen und eben auch in der Energiebrache für erheblichen Schaden sorgen. In der Einschätzung von Damballa heißt es auch, dass diese Fast-Flux-Infrastruktur sich zu einer erheblichen Bedrohung entwickeln könnte.

Sicherheitsexperte Noah Dunker erklärt zu dieser Fast-Flux-Infrastruktur: “Derzeit sind es etwa 2000 infizierte Endpunkte, vor allem Breitbankunden aus Osteuropa, die zu diesem Botnet versklavt wurden. Es ist hochfunktionell und es fühlt sich ein wenig so an wie eine Schwarzmarkt-Version von Amazon Web Services.”

Redaktion

Recent Posts

Traditionelle Sicherheit versus Zero Trust-Architektur

Zero Trust richtig eingesetzt, kann es Organisationen bei der Umsetzung ihrer Transformation unterstützen, sagt Nathan…

9 Stunden ago

Router-Update legt Microsofts Online-Dienste lahm

Eigentlich sollte nur eine IP-Adresse geändert werden. Ein dazu benutzter Befehl legt über einen Router…

19 Stunden ago

Valide Ergebnisse in zehn Sekunden statt zwei Monaten

Feuerwehr Düsseldorf greift für die strategische Standortplanung auf ein geodatenbasiertes Tool zu.

1 Tag ago

Nürburgring auf Digitalisierungskurs

Die "Grüne Hölle" soll mithilfe Künstlicher Intelligenz noch sicherer werden.

1 Tag ago

Führungskräfte brauchen ökologisches Händchen

Gartner: 70 Prozent der Führungskräfte in der Technologiebeschaffung müssen bis 2026 Leistungsziele erreichen, die auf…

1 Tag ago

Deutsche sind klar Letzte in punkto Datenschutz

Cisco Consumer Privacy Survey zeigt: 57 Prozent der Deutschen sehen sich nicht in der Lage,…

1 Tag ago