Doublepulsar: Hinweise auf Missbrauch der durchgesickerten NSA-Backdoor

Der “Doublepulsar” genannte Schadcode, der im Zuge der von der Hackergruppe Shadow Brokers veröffentlichten NSA-Hacking-Tools an die Öffentlichkeit gelangte, wird möglicherweise von Dritten für Angriffe genutzt. Darauf deuten Zahlen hin, die das Schweizer IT-Security-Unternehmen Binary Edge veröffentlicht hat. Ihm zufolge wurden alleine seit dem 21. April fast 80.000 IP-Adressen neu infiziert und beläuft sich die Gesamtanzahl der betroffenen Rechner nun auf über 180.000. Davon wurde die überwiegende Anzahl in den USA lokalisiert, 493 konnten jedoch auch IP-Adressen in Deutschland zugeordnet werden.

Die hohe Anzahl an infizierten Rechnern und deren rasche Zunahme deutet Experten zufolge darauf hin, dass die Malware inzwischen von Dritten heruntergeladen, möglicherweise leicht modifiziert und nun für Angriffe auf ungepatchte Windows-Rechner verwendet wird. Microsoft zweifelt die Berichte an, will sie aber untersuchen und räumt immerhin ein, dass sich ein “Konsens herausbildet, wonach 30.000 bis 107.000 Windows-Maschinen mit Doublepulsar infiziert sein könnten.” Diese Rechner seien dann auch für anderweitige Angriffe anfällig.

Laut ArsTechnica würde die NSA eine derartige Schadsoftware wesentlich gezielter einsetzen, um die Gefahr der Entdeckung gering zu halten. Auch die von anderen Sicherheitsforschern, darunter Below0day und Errata Security gennannten Werte von 30.000 respektive 41.000 infizierten Rechnern seien für “echte” NSA-Aktivitäten untypisch hoch. Ein weiterer Erklärungsansatz für die hohen Werte wäre ein Fehler in dem Skript, dass die infizierten Rechner aufspüren soll, aber möglicherweise False Positives produziert.

Um sich vor Entdeckung zu schützen, schreibt Doublepulsar keine Dateien auf den infizierten Computer. Dadurch übersteht die Malware allerdings auch einen Neustart des Rechners nicht. Das könnte ebenfalls eine Erklärung für die stark voneinander abweichenden Zahlen der einzelnen Experten sein: Sie hätten dann womöglich richtig, aber eben zu unterschiedlichen Zeitpunkten und womöglich ganz unterschiedliche, infizierte Rechner ermittelt.

Dan Tentler, Gründer der IT-Security-Beratungsfirma Phobos Group, mutmaßt gegenüber ArsTechnica, dass es die Absicht von Shadow Brokers gewesen sein könnte, dass die Veröffentlichung der NSA-Tools zunächst zu Masseninfektionen und dadurch dann zur Veröffentlichung von Patches beziehungsweise Signataren führt, wodurch der NSA-Code dann unbrauchbar wird.

Seinen Untersuchungen zufolge wartet Doublepulsar nach der Infektion darauf, dass bestimmte Daten über Port 445 gesendet werden. Dieser Port wird seit Windows XP vom Microsoft Common Internet File System (CIFS) genutzt und sollte Empfehlungen von Sicherheitsexperten zufolge eigentlich in der Firewall zumindest für eingehenden Traffic blockiert oder zumindest überwacht werden. In der Praxis ist das aber oft nicht der Fall, da der im Zusammenhang mit Datei- und Druckerfreigaben geöffnet wird.