Wie das FBI bewies, dass ein Remote-Verwaltungstool tatsächlich Malware war

Wie das FBI bewies dass ein Remote Verwaltungstool tatsaechlich Malware war

Am Donnerstag gab die US-Regierung bekannt, dass sie eine Website beschlagnahmt hat, auf der Malware zum Ausspionieren von Computern und Mobiltelefonen verkauft wurde.

Die Malware heißt NetWire, und das seit Jahren mehrere Internet-Sicherheit Firmenund mindestens eine Regierungsbehörde, haben Berichte darüber geschrieben, wie Hacker die Malware verwendet haben. Während NetWire Berichten zufolge auch in Hacking-Foren beworben wurde, vermarkteten die Malware-Besitzer es auf einer Website, die es so aussehen ließ, als wäre es ein legitimes Fernverwaltungstool.

„NetWire wurde speziell entwickelt, um Unternehmen bei der Durchführung einer Vielzahl von Aufgaben im Zusammenhang mit der Wartung der Computerinfrastruktur zu unterstützen. Es ist ein einziges „Kommandozentrum“, in dem Sie eine Liste aller Ihrer Remote-Computer führen, deren Status und Inventar überwachen und zu Wartungszwecken eine Verbindung zu jedem von ihnen herstellen können“, heißt es eine archivierte Version der Website.

In die Pressemitteilung Ankündigung der Beschlagnahme der Website, die auf gehostet wurde worldwiredlabs.comteilte die US-Staatsanwaltschaft im Central District of California mit, dass das FBI im Jahr 2020 eine Untersuchung der Website eingeleitet habe. Die Bundesbehörden behaupten, die Website sei zur Begehung von internationaler Geldwäsche, Betrug und Computerkriminalität verwendet worden.

Ein Sprecher der US-Staatsanwaltschaft stellte Tech eine Kopie davon zur Verfügung der Durchsuchungsbefehl, mit dem die Website beschlagnahmt wurdein dem detailliert beschrieben wird, wie das FBI feststellte, dass NetWire tatsächlich ein Remote Access Trojan – oder RAT – Malware war und keine legitime App zur Verwaltung von Remote-Computern.

Der Durchsuchungsbefehl enthält eine eidesstattliche Erklärung eines namentlich nicht genannten FBI-Task-Force-Offiziers, der erklärt, dass ein Mitglied oder Agent des FBI-Ermittlungsteams eine NetWire-Lizenz erworben, die Malware heruntergeladen und einem Informatiker des FBI-LA übergeben hat, der sie im Oktober analysiert hat 5. Januar 2020 und 12. Januar 2021.

Bildnachweis: NetWire

Um die Fähigkeiten der Malware zu testen, verwendete der Informatiker das NetWire Builder Tool auf einem Testcomputer, um „eine angepasste Instanz der NetWire RAT“ zu konstruieren, die auf einer vom Agenten gesteuerten virtuellen Windows-Maschine installiert wurde. Während dieses Prozesses forderte die NetWire-Website „das FBI nie auf, zu bestätigen, dass es den Computer des Testopfers, den das FBI während seiner Tests angegriffen hat, besitzt, betreibt oder ein Eigentumsrecht daran hat (wie es angemessen wäre, wenn die Angriffe für einen legitimen oder autorisierten Zweck).“

Mit anderen Worten, basierend auf diesem Experiment kam das FBI zu dem Schluss, dass die Eigentümer von NetWire sich nie die Mühe gemacht haben, zu überprüfen, ob seine Kunden es für legitime Zwecke auf Computern verwenden, die ihnen gehören oder die sie kontrollieren.

Mit der von ihnen eingerichteten virtuellen Maschine testeten die FBI-Informatiker dann alle Funktionalitäten von NetWire, einschließlich des Fernzugriffs auf Dateien, des Anzeigens und erzwungenen Schließens von Apps wie Windows Notepad, des Exfiltrierens gespeicherter Passwörter, des Aufzeichnens von Tastenanschlägen, des Ausführens von Befehlen per Eingabeaufforderung oder Shell und des Taken Screenshots.

„Das FBI-LA [computer scientist] betonte, dass bei allen oben getesteten Funktionen der infizierte Computer nie einen Hinweis oder eine Warnung anzeigte, dass diese Aktionen stattfanden. Dies steht im Gegensatz zu legitimen Fernzugriffstools, bei denen normalerweise die Zustimmung des Benutzers erforderlich ist, um bestimmte Aktionen im Namen des Benutzers durchzuführen“, schrieb der Task Force-Beamte in der eidesstattlichen Erklärung.

Der Beamte zitierte auch eine Beschwerde, die das FBI im August 2021 von einem in den USA ansässigen Opfer von NetWire erhalten hatte, enthielt jedoch weder die Identität des Opfers noch viele Details des Falls, außer dass das Opfer einen Dritten engagiert hatte Cybersicherheitsfirma, die zu dem Schluss kam, dass das Opferunternehmen eine bösartige E-Mail erhalten hatte, die NetWire installierte.

Ciaran McEvoy, ein Sprecher der US-Staatsanwaltschaft des Central District of California, sagte gegenüber Tech, ihm seien außer dem Haftbefehl und der beigefügten eidesstattlichen Erklärung keine anderen öffentlichen Dokumente zu dem Fall bekannt, also Informationen über die Operation zum Abschalten der Website verwendet, um NetWire zu verkaufen, einschließlich der Identität seiner Eigentümer, ist an dieser Stelle eingeschränkt.

In der Pressemitteilung schrieb das DOJ, dass die kroatischen Behörden einen lokalen Bürger festgenommen hätten, der angeblich die Website betrieb, ohne den Namen des Verdächtigen zu nennen.

Nach der Ankündigung der Cybersecurity-Journalist Brian Krebs einen Artikel geschrieben wo er öffentlich zugängliche DNS-Einträge, WHOIS-Website-Registrierungsdaten, Informationen, die von einem Dienst bereitgestellt wurden, der Daten indiziert, die in öffentlichen Datenbanklecks offengelegt wurden, und sogar ein Google+-Profil verwendete, um die Website worldwiredlabs.com mit einer Person namens Mario Zanko zu verknüpfen.

tch-1-tech