Kazuar-Backdoor: Russische Hacker bauen Super-Botnet für Spionage

** Das berichten Microsoft und andere Sicherheitsforscher diese Woche. Aus einem monolithischen Schadprogramm wurde ein modulares Peer-to-Peer-Botnetz – entwickelt für maximale Tarnung und jahrelange Persistenz in sensiblen Netzwerken.

Die Gruppe, die westliche Geheimdienste dem Zentrum 16 des russischen Inlandsgeheimdienstes FSB zuordnen, gilt seit Jahren als Spezialist für hochwertige Wirtschaftsspionage. Ihre Ziele: Regierungen, Diplomatennetze und Rüstungsunternehmen in Europa und Zentralasien. Der Umbau von Kazuar zeigt einen strategischen Kurswechsel – weg von schnellen Angriffen, hin zu einem schleichenden, fast unsichtbaren Dauereinsatz.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report jetzt kostenlos herunterladen

Drei Module, eine tödliche Kombination

Die neue Kazuar-Version arbeitet mit drei voneinander getrennten Komponenten: Kernel, Bridge und Worker. Diese Aufteilung macht das Schadprogramm für klassische Virenscanner nahezu unsichtbar.

Der Kernel ist das Gehirn der Infektion. Er prüft die Umgebung auf Spuren von Sicherheitsforschern – sucht nach Debugging-Tools, Sandbox-Umgebungen und Analyse-Software. Erst wenn die Luft rein ist, startet er seine eigentliche Arbeit: Aufgaben verwalten, Logs führen und den Datendiebstahl steuern.

Die Bridge übernimmt die gesamte Kommunikation nach außen. Sie tarnt den Datenverkehr als harmlose Web-Anfragen – über Exchange Web Services, HTTP oder WebSockets. Normale Netzwerküberwachung erkennt den Unterschied kaum.

Der Worker schließlich führt die eigentlichen Spionage-Aktionen aus: Bildschirmfotos erstellen, Tastatureingaben aufzeichnen, Dateien stehlen. Da er völlig unabhängig von der Kommunikationsschicht arbeitet, fällt ein entdeckter Worker nicht zwangsläufig auf das gesamte Botnetz zurück.

Der geniale Trick: Ein Anführer, der schweigt

Die raffinierte Neuerung ist ein dezentraler Wahlmechanismus für den Anführer. Statt dass jeder infizierte Rechner direkt mit dem Kommando-Server spricht, wählen die Maschinen in einem Netzwerk einen „Leader“. Nur dieser eine Rechner kommuniziert mit der Außenwelt – er holt neue Befehle und schickt gestohlene Daten nach draußen.

Alle anderen infizierten Systeme bleiben stumm. Sie tauschen Daten nur intern mit ihrem Anführer aus – über Windows-Protokolle wie Messaging oder Mailslot, die kaum jemand überwacht.

Die Konsequenz für Verteidiger: Selbst wenn ein infizierter Rechner entdeckt wird, bleibt das gesamte Botnetz verborgen. Und fällt der Anführer aus, wählt die Gruppe einfach einen neuen. Die Kontrolle über das Zielnetzwerk geht nicht verloren.

Kooperation der Schattenarmeen

Der Kazuar-Umbau ist Teil eines größeren Trends. Bereits Anfang des Jahres dokumentierten Sicherheitsforscher eine Zusammenarbeit zwischen Turla und Gamaredon – einer weiteren FSB-Gruppe mit Basis auf der Krim. Gamaredon, bekannt für seine massenhaften, aber technisch simplen Angriffe, verschafft Turla den ersten Zugang zu hochwertigen Zielen. Dann übernimmt Kazuar die Feinarbeit.

Turla entfernt sich zunehmend von der Taktik des „Living-off-the-Land“ – also dem Missbrauch systemeigener Werkzeuge. Stattdessen investiert die Gruppe in maßgeschneiderte, extrem komplexe Schadsoftware. Das Ziel: Monate oder Jahre unentdeckt in sensiblen Netzwerken sitzen.

Die Entwicklungsgeschichte von Kazuar reicht bis ins Jahr 2005 zurück. Seit der ersten öffentlichen Dokumentation 2017 wuchs das Werkzeug von einer einfachen Hintertür zu einem kompletten Spionage-Ökosystem heran. Die aktuelle Version kann gezielt Signal-Nachrichten und Git-Quellcode-Verwaltungen ausspähen – ein klarer Hinweis auf Angriffe gegen Entwickler und hochrangige Beamte.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Was Verteidiger jetzt wissen müssen

Die neue Architektur stellt klassische Firewall-Konzepte infrage. Da die meisten infizierten Rechner nie Kontakt ins Internet aufnehmen, hilft reine Verkehrsüberwachung kaum noch. Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz: Analyse des Arbeitsspeichers, Überwachung interner Prozess-Kommunikation und Erkennung von Anomalien in Cloud-Anwendungen.

Kazuar nutzt zudem die eindeutige GUID jedes Rechners – selbst nach Neustarts bleibt das Schadprogramm aktiv und konsistent. Die Möglichkeit, zusätzliche Erweiterungen aus der Ferne nachzuladen, macht es zu einem der vielseitigsten Werkzeuge der aktuellen Bedrohungslandschaft.

Ausblick: Die nächste Generation der Spionage

Die internationale Gemeinschaft muss sich auf mehr koordinierte Operationen zwischen verschiedenen staatlichen Hackergruppen einstellen. Turla nutzt bereits Infrastruktur anderer regionaler Gruppen, um die Zuordnung zu erschweren und Ermittler in die Irre zu führen.

Für Verteidiger in Regierungen und Verteidigungsindustrie gilt: Kazuar ist keine normale Malware-Infektion, sondern eine strategische Langzeitbedrohung. Die Techniken, die Turla hier einsetzt – Leader-Wahl und modulare Proxy-Strukturen – werden bald auch andere Gruppen übernehmen. Der Kampf um die Kontrolle sensibler Netzwerke ist in eine neue Phase getreten.

de | wissenschaft | 69351446 |