Hackergruppe XDSpy enttarnt

Forscher des IT-Security-Spezialisten Eset haben einen Cyber-Spionagering enttarnt, der bisher unbemerkt agieren konnte. Die APT-Gruppe (Advanced Persistent Threat) ist nach deren Erkenntnissen bereits seit 2011 aktiv und hat sich auf den Diebstahl sensibler Regierungsdokumente im osteuropäischen Raum und der Balkan-Region spezialisiert.

Bei den Zielen handelt sich in erster Linie um Regierungsstellen, darunter Militäreinrichtungen und Aussenministerien sowie vereinzelt Unternehmen. Die von Eset als XDSpy bezeichnete Hackerbande ist neun Jahre lang weitgehend unentdeckt geblieben, was selten ist.

«Die Kampagne um XDSpy ist exemplarisch für den aktuellen Stand der Cybersecurity», kommentiert Thomas Uhlemann, Security Specialist bei Eset Deutschland, den Fall. «Nicht eingespielte Sicherheitsupdates, veraltete Soft- und Hardware, fehlendes Monitoring – all das lädt nicht nur Spione, sondern auch andere Cybergangster ein», sagt er weiter. «Es wäre allerdings ein Trugschluss zu glauben, dass nur osteuropäische Behörden und Institutionen leicht zum Opfer fallen können», warnt er. Auch im deutschsprachigen Raum gebe es noch viel zu viele IT-Zwischenfälle, so Uhlemann. «Diese wären vermeidbar, wenn einfachste IT-Security-Grundregeln wie Malwareschutz, ständige Aktualisierungen von Hard- und Software, entsprechende Budgets, moderne Zugriffsberechtigungen, Verschlüsselung und Know-how vorhanden gewesen wären», gibt er zu bedenken.

Und so ging die Hackergruppe vor: Die XDSpy-Betreiber verwendeten lange Zeit Spear-Phishing-E-Mails, um ihre Ziele zu kompromittieren. Die E-Mails weisen dabei Variationen auf: Einige enthalten einen Anhang, während andere einen Link zu einer bösartigen Datei beinhalten. Dabei handelt es sich in der Regel um ZIP- oder RAR-Archive. Wenn das Opfer darauf doppelklickt, lädt die entpackte LNK-Datei «XDDown» – die Hauptkomponente der Malware – herunter und installiert diese.