Forscherinnen und Forscher von ESET, eines Herstellers von Sicherheitssoftware, haben eine aktualisierte Version des Malware-Loaders ArguePatch gefunden. Sie ordnen das Programm der Hacker-Gruppierung Sandworm zu. Es hatte schon zuvor berüchtigte Cyber-Angriffe gegen die Ukraine ermöglicht.
ArguePatch lädt Schad-Software auf den angegriffenen Computer. Damit ist es der erste Schritt eines Cyber-Angriffs. Das Computer Emergency Response Team der Ukraine (CERT-UA) gab dem Malware-Loader den Namen ArguePatch. Als sie dem Programm zuerst begegneten, war es Teil der Industroyer2-Attacke. Damals, unmittelbar nach Beginn des Krieges in der Ukraine, im März 2022, griff Sandworm einen Energieversorger an. Das Programm, das Sandworm nutzte, war Industroyer2. Dabei handelt es sich um ein Update der Schadsoftware Industroyer, nach der es auch benannt wurde. Industroyer sorgte Ende des Jahres 2017 dafür, dass in einem Fünftel von Kiew für eine Stunde der Strom ausfiel.
Außerdem verwendeten die Angreifer ArguePatch, um CaddyWiper zu laden. Hinter dem Namen verbirgt sich eine Schadsoftware, die Daten von Systemen löscht, um diese unbrauchbar zu machen. Sandworm setzte CaddyWiper in Verbindung mit Industroyer2 ein, womöglich um Spuren zu beseitigen.
Neue Funktion
Wie die ESET-Forscher jetzt bekannt gaben, stießen sie im Mai auf ein Update von ArguePatch. Das Besondere an der neuen Variante ist eine neue Funktion. Ursprünglich lud das Programm lediglich Schad-Software auf das angegriffene System. Dann musste der Angreifer einen geplanten Task in Windows einrichten, damit die Malware losschlagen konnte. Dieser Schritt entfällt in der neuen Version. ArguePatch kann jetzt selbst die nächste Stufe eines Angriffes beginnen. Die ESET-Forscher vermuten, dass diese Funktion den Hackern helfen soll, unerkannt zu bleiben.
Sandworm
Die Hacker-Gruppe Sandworm wird für einige der schädlichsten Cyber-Operationen der Geschichte verantwortlich gemacht. Die genaue Identität der Gruppe lag lange im Dunkeln. Sie erhielt ihren Namen aufgrund von Hinweisen, die sie im Schad-Code hinterlassen hatte: „arrakis02“, „houseatreides94“, „BasharoftheSardaukars“, „SalusaSecundus2“, und „epsiloneridani0“. Alle Bezeichnungen stammen aus Frank Herberts Science-Fiction-Klassiker „Dune“. Die Sandwürmer sind in dem Roman riesige Ungeheuer, die sich durch den fiktiven Wüstenplaneten Arrakis wühlen.
Die echten Sandworm-Mitglieder hingegen sind Beamte des russischen Staates. Erst vor zwei Jahren identifizierte das US Departement of Justice Sandworm als die Militäreinheit 74455 des russischen Militärnachrichtendienstes GRU.
Die bisherige Berichterstattung des Behörden Spiegel zum Ukraine-Krieg finden Sie hier.
