Adwind
Adwind ist eine Computer-Schadsoftware.
Inhaltsverzeichnis
[Verbergen]Beschreibung[Bearbeiten]
Adwind ist ein Java-Trojaner. Es wird für kriminelle Kunden angeboten, die nur wenig EDV-Wissen haben. Ein Kunde zahlt für den Einsatz von Adwind. Die Installation übernimmt der Anbieter von Adwind. Der Kunde kann auswählen, welche Funktionen von Adwind er bucht. Er kann zum Beispiel aus angebotenen Phishing-Email-Aktionen wählen. Somit kann Adwind prinzipiell von jedem Menschen gegen jemand anderes verwendet werden. Es wird sowohl von kriminellen als auch von staatlichen Organisationen eingesetzt. Es sind Fälle von gezielten Angriffen auf einzelne Personen und auf bestimmte Organisationen bekannt. Es treten aber auch die gewöhnlichen Massenversendungen der infektiösen Emails auf. Obwohl bekannt ist, wo Adwind gegen Geld bestellt oder beauftragt werden kann, wird von staatlichen Stellen nichts dagegen unternommen. Wenn ein Internetprovider das Hosting von Adwind bei sich entdeckt und sperrt, zieht die Platform zu einem anderen Provider um.
Adwind liest Tastatureingaben mit, erstellt Bildschirmfotos, macht Aufnahmen über die Webcam und über das Mikrofon, ... Die gesammelten Daten versucht Adwind an seine Auftraggeber zu senden.
Adwind wird meist als JAR-Datei per Email an die Opfer geschickt. Wenn das Opfer die Datei startet und Java auf dem Rechner des Opfers installiert ist, nistet sich Adwind unbemerkt auf dem Rechner ein. Java ist für die meisten Betriebssysteme kostenlos erhältlich, oft vorinstalliert und wird auch von vielen Programmen bei der Installation mitgebracht, weil sie ohne Java nicht funktionieren. Dadurch ist Adwind vom Betriebssystem unabhängig. Es ist lauffähig zum Beispiel auf Windows, Linux, Mac, Android, ...
Adwind ist mit dem kommerziell erhältlichen Allatori Java Obfuscator behandelt, um die Analyse des Bytecodes zu behindern.
Andere Namen von Adwind[Bearbeiten]
- AlienSpy
- Frutas
- Unrecom
- Sockrat
- JSocket
- jRat
Adwind hatte zu unterschiedlichen Zeiten unterschiedliche Namen. Im Januar 2012 wurde es unter dem Namen Frutas im spanischsprachigen Hacker-Forum „indetectables.net” vom Nutzer Adwind gestestet. Die meisten Nutzer von indetectables.net stammen aus Mexiko. 2013 hieß es dann selbst Adwind. Es wurde 2013 viel von arabischsprachigen Hackern eingesetzt. Oft wurde es dabei zusammen mit der Schadsoftware DarkComet von Jean-Pierre Lesueur eingesetzt. Zuerst war die Benutzeroberfläche spanisch, seit Adwind v2.0 englisch. Im August 2013 wurde sogar ein YouTube-Kanal eröffnet, um für Adwind Version 3.0 zu werben. Seit dieser Version gibt es auch Support für das Betriebssystem Android. Seit November 2013 wurde es unter dem Namen „Unrecom” von dem Mexikanischen Wiederverkäufer „faria” unter dem Firmennamen „LustroSoft” vertrieben. Die Basisversion kostete 30 USD, die professional Version 95 USD und die Komplettversion 200 USD. Im Februar 2014 knackte der Hacker Boredliner Unrecom Version 1.3 und auch Adwind Version 3.0. Er stellte beide kostenlos der Öffentlichkeit zur Verfügung. Im Sommer 2014 waren mehrere geknackte Versionen von Adwind und Unrecom im Umlauf. Die geknackte Version 3.0 von Adwind war die meist genutzte Version von Adwind 2014 bis 2015. September/Oktober 2014 wurde eine neue Version unter dem Namen „AlienSpy” herausgegeben. Einige Versionen von AlienSpy wurden später auch geknackt. Seit Juni 2015 wird es als JSocket vertrieben. Seit Januar 2016 kann JSocket von jedem gebucht werden. Man muß sich mit einer gültigen Emailadresse anmelden und kann dann in einem Webshop Funktionen buchen. Der Webshop hatte im Dezember 2016 etwa 1600 angemeldete Nutzer. Es gibt einen YouTube-Kanal mit Anleitungen für JSocket.
Der Fall Alberto Nisman[Bearbeiten]
Der Argentinische Staatsanwalt Alberto Nisman wurde mittels Adwind überwacht. Sein Android-Handy Motorola xt626 war mit Adwind infiziert. Alberto Nisman untersuchte den Bombenanschlag auf das jüdische Gemeindezentrum Amia in Buenos Aires von 1994. Er beschuldigte unter anderen die argentinische Präsidentin Cristina Fernández de Kirchner, seine Untersuchungen zu behindern.
Die letzten sechs Wochen vor seiner Ermordung 2015 wurde er mit Adwind überwacht. Per Email hatte er die Datei „estrictamente secreto y confidencial.pdf.jar” erhalten. Beim Klick auf diese JAR-Datei wird Adwind im Hintergrund aktiv. Der Neuseeländische Hacker und Journalist Morgan Marquis-Boire hat das Handy von Alberto Nisman untersucht.
weitere Fälle[Bearbeiten]
Im April 2015 wurden mehrere US-Firmen angegriffen. Ende 2015 wurden Computer einer Bank in Singapur mit Adwind infiziert. Ende 2015 wurden die Ajman-Bank in den Vereinigten Arabischen Emiraten, die Bankok-Bank, die IBC Bank (USA), die Nordische Finanzservicegruppe Nordea in Schweden und vermutlich auch die Bank Negara in Malaysia angegriffen. 2016 wurden Dänische Firmen angegriffen.
Linksammlung[Bearbeiten]
Beschreibung der Verbreitung von Adwind (deutsch): http://www.kaspersky.com/de/about/news/virus/2016/Adwind_Malware-as-a-Service-Plattform_greift_mehr_als_400_000_Nutzer_und_Organisationen_weltweit_an#
Detaillierte Analyse der Vorgehensweise des Trojaners Adwind (englisch): https://www.secureworks.com/blog/spam-campaign-distributes-adwind-rat
Adwind wurde gegen Argentinischen Staatsanwalt eingesetzt (englisch): http://motherboard.vice.com/read/malware-hunter-finds-spyware-used-against-dead-argentine-prosecutor
Allgemeiner Artikel über Adwind und Trojaner (deutsch): http://www.itseccity.de/virenwarnung/hintergrund/varonis220416.html
Bericht von Morgan Marquis-Boire (englisch): https://theintercept.com/2015/08/21/inside-the-spyware-campaign-against-argentine-troublemakers-including-alberto-nisman/
Überblick über Verwendung von Adwind 2016 (englisch): https://heimdalsecurity.com/blog/security-alert-adwind-rat-targeted-attacks-zero-av-detection/
Codeanalyse von Adwind (englisch): https://boredliner.wordpress.com/2014/02/07/cracking-obfuscated-java-code-adwind-3/
geschichtliche Entwicklung (englisch): https://securelist.com/securelist/files/2016/02/KL_AdwindPublicReport_2016.pdf
