Der Spion, der aus dem Router kam

Vor einer  hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im  Nahen Osten sowie in Afrika ihr Unwesen treibt, warnt derzeit der IT-Security-Spezialist Kaspersky Lab. Ausgangspunkt ist die Malware «Slingshot», die ihre Opfer über kompromittierte Router attackiert und infiziert.

Slingshot ist in der Lage, im Kernel-Modus zu laufen und erhält  somit vollständige Kontrolle über infizierte Geräte. Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige  Techniken. So werden Informationen heimlich und effektiv ausgespäht,  indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann.

Die Security-Experten kamen der Operation Slingshot über den Fund eines  verdächtigen Keylogger-Programms auf die Spur. Sie erzeugten eine Signatur zur Verhaltenserkennung, um eine weitere Existenz des Codes zu überprüfen. So konnte ein infizierter Rechner ausgemacht werden, der in einem Systemordner eine verdächtige Datei mit dem Namen «scesrv.dll» aufwies. Die weitere Untersuchung dieser Datei ergab, dass schädlicher  Code in dieses Modul eingebettet war. Da die Bibliothek von  «services.exe», einem Prozess mit Systemrechten, geladen wird, verfügt  auch sie über die entsprechenden Berechtigungen.

Das Resultat: Die Experten waren auf einen hochentwickelten Eindringling gestossen, der  seinen Weg in das Innerste des Rechners gefunden hatte.