13 Jan 2017

EyePyramid: die unbekümmerte Malware

Nachrichten Sicherheit

Wenn wir auf Kaspersky Daily über Malware sprechen — und das machen wir recht oft – wählen wir die Malware-Arten, von denen nach unseren Daten die meisten User betroffen sind. CryptXXX, TeslaCrypt und andere Bedrohungen, die weltweit Millionen angegriffen haben, sind nur einige Beispiele. Malware, die nur ein paar Mal in Erscheinung getreten ist, verdient wenig Aufmerksamkeit. Wie Sie wissen, gibt es dort draußen viel Malware — wir können nur nicht jeder einzelnen einen Blogeintrag widmen.

Aber keine Regel ohne Ausnahme. Heute werden wir über eine Malware mit dem Namen EyePyramid sprechen. Nein, wir haben ihr den Namen nicht gegeben; das waren ihre Entwickler. Und der Grund dafür, warum wir über EyePyramid reden, ist, dass sie aus der Masse herausragt und ihre Geschichte fast schon wie ein Märchen klingt. In ihr erreicht ein kleiner Mann große Ergebnisse (und versagt am Ende).

Italienisches Spionage-Familienunternehmen

Fangen wir mit der Tatsache an, dass EyePyramid eigentlich ein Familienunternehmen war. Die Malware an sich wurde von einem 45-jährigen Italiener entwickelt, Giulio Occhionero, der einen Abschluss in Nukleartechnik hat. Er und seine Schwester, Francesca Maria Occhionero, 48, arbeiteten daran, die Malware zu verbreiten. Sie arbeiteten zusammen in einer kleinen Investmentfirma mit dem Namen Westland Investments.

Laut einem kürzlich von der italienischen Polizei veröffentlichten Bericht, wurde EyePyramid über Phishing verbreitet und hatte im Wesentlichen hohe italienische Regierungsmitglieder, zusammen mit Freimaurern, Anwaltskanzleien, Beratungsdienstleistern, Universitäten und selbst vatikanische Kardinäle im Visier.

Warum? Nach der Installation verschaffte die Malware seinem Entwickler Zugriff auf alle Ressourcen der Computer ihrer Opfer. Sie wurde allein dazu genutzt, um Informationen zu sammeln, mit denen, so SC Magazine, wiederum profitablere Investitionen durchgeführt wurden. Malware als Analysewerkzeug. Ich persönlich sehe keine Verbindung zwischen Investment und Kardinälen, aber scheinbar war dies bei den Kriminellen anders.

Die hohen Positionen der Opfer und auch die Tatsache, dass die italienische Polizei aus den Details zu EyePyramid kein Geheimnis machte (bis auf die Adressen der Command-and-Control- (C&C-) Server und verschiedene verwendete E-Mails), weckte die Aufmerksamkeit unserer GReAT-Experten. Also entschieden sie sich, auf eigene Faust zu ermitteln.

Holpriges Cyberverbrechen

Einige Medien beharren darauf, dass EyePyramid komplex und fortschrittlich ist. Das stimmt nicht. Tatsächlich handelt es sich um recht einfache Malware

Durch Informationen aus dem Polizeibericht konnten unsere Analysten weitere 44 Beispiele für EyePyramid finden, und das half uns, das ganze besser zu verstehen. Einige Medien beharren darauf, dass EyePyramid komplex und fortschrittlich ist. Das stimmt nicht. Tatsächlich ist sie recht einfach. Das Verbrecherduo nutzte stumpfe Methoden, wie die Verwendung verschiedener Orte, um die Erweiterungen der ausführbaren Dateien zu verbergen, die die Malware enthielten. Der Trick sieht einfach aus, aber er funktioniert.

Es stellt sich auch heraus, dass die Occhioneros schon vor vielen Jahren mit dem kriminellen Teil ihres Geschäfts begonnen hatten – die frühsten Beispiele, die wir finden können, reichen bis ins Jahr 2010 zurück. Italienische Beamte sprechen davon, dass das Duo seit 2008 aktiv gewesen sein könnte.

Da beide Amateure im Bereich der Cybersicherheit waren, mangelte es ihnen an Betriebssicherheit. Tatsächlich kümmerten sie sich nicht im Geringsten um Sicherheit, und sprachen in normalen Telefongesprächen (die, wie Sie wissen, einfach von Strafverfolgungsbehörden abgefangen werden können) und WhatsApp (das bis dieses Jahr keine End-to-End-Verschlüsselung verwendete) über ihre Opfer und hinterließen Spuren ihrer IP-Adressen, die mit ihrem Unternehmen in Verbindung standen.

Nichtdestotrotz waren sie nach Schätzungen der italienischen Polizei mindestens drei Jahre aktiv, und vielleicht sogar mehr als acht Jahre, attackierten mehr als 16.000 Opfer und erhielten mehr als 100 Mal Zugriff auf den Computer eines Opfers. Dadurch gelang das Duo an viele Informationen – viele Gigabytes von Daten, mit denen sie wohlmöglich ihre Investitionen verbessern konnten.

Das Ende eines Märchens

Dennoch ist diese Geschichte die perfekte Bestätigung dafür, dass Investition in Bildung (in diesem Fall, das Erlenen von Betriebssicherheit) sich für gewöhnlich mehr auszahlt. Am 10. Januar wurden Giulio und Francesca Maria Occhionero vom FBI verhaftet, wodurch der Siegeszug der Malware sein Ende fand.

Ihr langer Erfolg scheint überraschend, aber vielleicht liegt das Geheimnis in der Einfachheit der Malware. Sie wirkte zu langweilig, um ihr nachzugehen, und Kaspersky Security Network zeigte nur 92 Infektionsversuche, was ein Tropfen im Ozean ist, wenn man den Fall mit der Anzahl der Infektionsversuche von bekannter Ransomware vergleicht. Nichtsdestotrotz sind die Kriminellen hinter Gittern. Ende gut, alles gut.