BlackEnergy

BlackEnergy ist eine populäre Crimeware, die seit 2007 auf dem russischen Schwarzmarkt verkauft wird. Ihr ursprünglicher Zweck war Botnetze, also vernetzte und verteilte Computerprogramme, zur Durchführung sogenannter Distributed Denial of Service (DDoS) Attacken einzurichten. Mit der Zeit hat sich die Malware weiterentwickelt und unterstützt jetzt diverse Plugins, die je nach Zweck des Angriffs die Funktionalität erweitern. Der mögliche Einsatz reicht somit von der Versendung von Spam über das Stehlen von Bankzugriffsdaten bis zum systematischen, langfristig geplanten Angriff auf politische Ziele.^[1]

Ein prominenter Einsatz erfolgte möglicherweise bei Cyberattacken während der russisch-georgischen Konfrontation 2008. Im Sommer 2014 erregte die Software Aufmerksamkeit im Rahmen von Angriffen auf Einrichtungen der ukrainischen Regierung.^[1] Weiterhin wurde sie mit einem mehrstündigen Blackout durch den Zusammenbruch mehrerer ukrainischer Verteilnetze am 23. Dezember 2015 in Verbindung gebracht. Kurz nach dem Ereignis behaupteten ukrainische Regierungsbeamte, dass die Ausfälle durch eine Cyberattacke hervorgerufen worden seien und machten den russischen Geheimdienst hierfür verantwortlich.^[2]

Insbesondere bei Angriffen auf politische Ziele erscheint die Crimeware mehrfach im Rahmen eines Advance Persistent Thread (APT), d. h. im Rahmen eines langfristig geplanten, zielgerichteten Angriffs mit erheblichem Ressourcenaufwand. Verdeckte Operationen dieser Art sollen auch im Nachhinein keinem Verursacher zuordenbar sein. Nichts erfüllt dies Kriterium so gut wie eine verbreitete Crimeware mit einem breiten Einsatzspektrum.^[1][2]

Aufbau der Schadsoftware[Bearbeiten | Quelltext bearbeiten]

Das BlackEnergy Toolkit beinhaltet eine Builder-Anwendung, die genutzt wird, um Clients zu erzeugen, die die Angreifer nutzen, um die Maschinen der Opfer zu infizieren. Weiterhin beinhaltet es serverseitige Skripte, die von den Angreifern im Command & Control Server (C&C) aufgesetzt werden. Die Skripte stellen auch eine Schnittstelle bereit, über die der Angreifer seine Bots steuern kann. Die Einfachheit und Benutzerfreundlichkeit des Toolkits stellt sicher, dass die Erzeugung eines Botnetzes fast ohne technische Kenntnisse möglich wird. Das originale BlackEnergy Toolkit kam 2007 heraus und wird in einem Whitepaper der Sicherheitsfirma F-Secure als BlackEnergy1 bezeichnet, spätere Varianten mit abweichender Konfiguration werden mit BlackEnergy2 und BlackEnergy3 referenziert.^[1]

Die Hauptfunktionalität von BlackEnergy2 findet sich in einer DLL-Komponente. Diese Komponente ist in einer Driverkomponente eingebettet und liegt nicht im Filesystem, um Spuren der Infektion auf dem System zu vermeiden.^[1] Die DLL-Komponente liefert den Angreifern eine robuste Infrastruktur, um ein Botnetz zu unterhalten, das nicht auf eine spezielle Funktionalität beschränkt ist. Die Malware ist vielmehr gestaltet, um je nach Zweck des Angreifers spezialisierte Plugins zu laden. Es wird eine minimale Auswahl an Kommandos angeboten^[1]:

• Binary laden und ausführen
• Shell-Kommando ausführen
• Deinstallieren
• Plugin laden
• Driver stoppen (Neustart bei Reboot)
• aktiven Command und Control Server setzen

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c d e f} BLACKENERGY & QUEDAGH The convergence of crimeware and APT attacks. F-Secure, abgerufen am 7. November 2016. 
2. ↑ ^{a b} Analysis of the Cyber Attack on the Ukrainian Power Grid. E-ISAC_SANS_Ukraine, abgerufen am 7. November 2016 (englisch).