StripedFly: Fünf Jahre Spionage im Tarnmantel eines Miners

Der Vorfall

Im Oktober 2023 veröffentlichte Kaspersky eine Analyse, die die Sicherheitsbranche aufschreckte: Eine Malware namens StripedFly hatte seit 2017 mindestens eine Million Windows- und Linux-Rechner infiziert – und war fünf Jahre lang praktisch unentdeckt geblieben. Der Grund: Alle Sicherheitsforscher, die StripedFly begegnet waren, hatten sie für einen einfachen Monero-Cryptominer gehalten und entsprechend niedrig eingestuft.

In Wirklichkeit war StripedFly ein hochentwickeltes Spionage-Framework mit modularem Aufbau, das weit über die Fähigkeiten eines gewöhnlichen Miners hinausging. Der Cryptominer war bewusst als Tarnung integriert worden – er sorgte dafür, dass Sicherheitsforscher die Malware als „Low Priority" einstuften und nicht weiter untersuchten.

Kasperskys Forscher entdeckten die wahre Natur von StripedFly erst, als sie bei einer Routineuntersuchung Code im Windows WININIT.EXE-Prozess fanden – einem Systemkernprozess, in dem fremder Code nichts zu suchen hat. Bei genauerer Analyse offenbarte sich ein erschreckend ausgeklügeltes Framework, das unter anderem den EternalBlue-Exploit (denselben, der WannaCry ermöglichte) für seine Verbreitung nutzte.

Die Identität der Entwickler ist bis heute unbekannt. Die Komplexität des Codes und die Dauer der Kampagne deuten jedoch auf einen staatlich unterstützten Akteur hin.

Wie der Angriff funktionierte

StripedFly war ein mehrstufiges modulares Framework, das sich grundlegend von typischer Malware unterschied:

Stufe 1 – Die Infektion über EternalBlue: StripedFly nutzte den EternalBlue-Exploit (CVE-2017-0144) – eine Schwachstelle im Windows-SMB-Protokoll, die ursprünglich von der NSA entwickelt und 2017 von der Hackergruppe Shadow Brokers veröffentlicht wurde. Obwohl Microsoft bereits im März 2017 einen Patch bereitstellte, blieben Millionen von Rechnern ungepacht. StripedFly scannte das Internet nach verwundbaren SMB-Diensten und infizierte sie automatisiert.

Stufe 2 – Der Shellcode und der Loader: Nach der erfolgreichen Ausnutzung von EternalBlue injizierte StripedFly Shellcode in den Windows-Kernel. Dieser Code war außergewöhnlich kompakt und elegant geschrieben – Kaspersky bezeichnete ihn als „bemerkenswert anspruchsvoll". Der Shellcode lud den eigentlichen Loader herunter, der als verschlüsseltes Binary auf einem Tor-Hidden-Service gehostet war.

Stufe 3 – Persistenz durch Manipulation von Systemprozessen: StripedFly wählte je nach Berechtigungsstufe unterschiedliche Persistenzmechanismen:

• Mit Administratorrechten: Die Malware modifizierte den Windows-Druckspooler oder erstellte einen Windows-Dienst, der bei jedem Systemstart ausgeführt wurde.
• Ohne Administratorrechte: StripedFly änderte Registry-Schlüssel im Autostart-Bereich des Benutzers oder manipulierte den Aufgabenplaner.

Stufe 4 – Das modulare Framework: Im Kern war StripedFly ein modularer Spionage-Baukasten mit folgenden Komponenten:

• Credential Harvester: Stahl Benutzernamen und Passwörter aus dem gesamten System
• Reconnaissance-Modul: Sammelte detaillierte Systeminformationen, Screenshots und Netzwerkdaten
• SSH-Wurm: Verbreitete sich über SSH-Verbindungen auf Linux-Systeme im selben Netzwerk
• SMB-Wurm: Nutzte EternalBlue, um weitere Windows-Rechner zu infizieren
• Update-Modul: Konnte neue Module nachladen und bestehende aktualisieren
• Monero-Miner: Die Tarnkomponente, die Sicherheitsforschern einen harmlosen Grund für die Aktivität lieferte

Stufe 5 – Kommunikation über Tor: Sämtliche Kommunikation mit den Command-and-Control-Servern lief über das Tor-Netzwerk. StripedFly brachte seinen eigenen, leichtgewichtigen Tor-Client mit. Die C2-Infrastruktur war als Tor Hidden Service aufgesetzt, was eine Identifizierung der Server praktisch unmöglich machte.

Stufe 6 – Die Tarnung als Miner: Der integrierte Monero-Miner war kein Nebenprodukt – er war ein strategisches Ablenkungsmanöver. Wenn ein Virenscanner oder ein Sicherheitsforscher die Malware entdeckte, wurde sie als „Cryptominer" klassifiziert und mit niedriger Priorität behandelt. Kein Unternehmen startet eine aufwändige Forensik-Untersuchung wegen eines Miners. Genau darauf setzten die Entwickler.

Warum Virenscanner versagten

StripedFly demonstrierte auf beunruhigende Weise, wie eine Malware fünf Jahre lang an der gesamten Sicherheitsbranche vorbeioperieren kann:

Die Cryptominer-Tarnung funktionierte perfekt. Sicherheitsforscher und automatisierte Systeme klassifizierten StripedFly als Miner. Cryptominer gelten als lästig, aber harmlos – sie stehlen keine Daten, verschlüsseln keine Dateien, verursachen keinen offensichtlichen Schaden. Niemand untersuchte den Code genauer.

Verschlüsselte Kommunikation über Tor. Netzwerkbasierte Sicherheitsprodukte konnten den Datenverkehr nicht analysieren, da er über Tor verschlüsselt war. Die Verbindung zum C2-Server war für Netzwerk-Monitoring-Tools unsichtbar.

Injektion in Systemprozesse. StripedFly versteckte seinen Code in WININIT.EXE und anderen Systemprozessen. Virenscanner können diese Prozesse nicht einfach beenden oder blockieren, da sie für den Betrieb von Windows essentiell sind.

Kein bekanntes Muster. StripedFly ähnelte keiner bekannten Malware-Familie. Signaturbasierte Erkennung versagte, weil es nichts gab, womit man den Code hätte vergleichen können. Und die verhaltensbasierte Erkennung wurde durch die Miner-Tarnung in die Irre geführt.

Professionelle Codebasis. Kaspersky beschrieb den Code als ungewöhnlich sauber und professionell. Im Gegensatz zu typischer Malware, die oft hastig zusammengeschrieben ist und auffällige Muster hinterlässt, war StripedFly offensichtlich das Werk erfahrener Softwareentwickler mit erheblichen Ressourcen.

So hätte Deep Freeze geschützt

Deep Freeze hätte StripedFly trotz seiner außergewöhnlichen Tarnung neutralisiert:

Alle Persistenzmechanismen werden bei jedem Neustart entfernt. StripedFlys Registry-Änderungen, manipulierte Systemdienste, geplante Aufgaben und modifizierte Systemprozesse – alles wird auf einer eingefrorenen Systempartition beim Reboot in den Originalzustand zurückgesetzt. Die Malware muss sich bei jeder Sitzung neu infizieren.

Der modulare Baukasten wird gelöscht. Alle heruntergeladenen Module – Credential Harvester, Reconnaissance-Tool, SSH-Wurm, Miner – werden beim Neustart entfernt. Die Malware verliert ihre gesamte Funktionalität und muss alle Komponenten erneut vom C2-Server herunterladen.

Die Tarnung wird irrelevant. Es spielt keine Rolle, ob StripedFly als Miner, als Spyware oder als etwas völlig anderes klassifiziert wird. Deep Freeze unterscheidet nicht nach Malware-Typ – alles, was nach dem Einfrieren der Festplatte installiert wurde, wird beim Neustart entfernt.

Die Wurm-Funktion wird eingeschränkt. StripedFly verbreitete sich automatisch über EternalBlue im lokalen Netzwerk. Auf eingefrorenen Rechnern müsste die Malware nach jedem Reboot jeden Rechner erneut infizieren. In einem Netzwerk, in dem regelmäßig neu gestartet wird, könnte sich die Malware nie dauerhaft ausbreiten.

Fünf Jahre Spionage wären unmöglich gewesen. StripedFlys gefährlichster Aspekt war seine Langlebigkeit: Fünf Jahre lang sammelte die Malware unbemerkt Daten. Auf einer eingefrorenen Systempartition hätte jeder Neustart die Spionage unterbrochen. Die gesammelten Zugangsdaten, der Tor-Client, die Konfigurationsdateien – alles wäre regelmäßig gelöscht worden.

Die Lehre

• Die gefährlichste Malware ist die, die niemand für gefährlich hält. StripedFlys Cryptominer-Tarnung war ein Geniestreich: Sie sorgte dafür, dass Sicherheitsforscher die Malware fünf Jahre lang ignorierten.
• Eine Million Infektionen über fünf Jahre zeigen das Ausmaß des Problems. Wenn eine einzelne Malware-Kampagne so lange unentdeckt bleiben kann, wie viele ähnliche Operationen laufen dann aktuell?
• EternalBlue ist auch Jahre nach dem Patch noch relevant. Millionen von Rechnern weltweit bleiben ungepacht – ein Eldorado für automatisierte Wurm-Malware.
• Staatlich unterstützte Akteure tarnen sich als Cyberkriminelle. Die Integration eines Cryptominers als Ablenkungsmanöver zeigt ein hohes Maß an strategischem Denken, das typisch für staatliche Operationen ist.
• Deep Freeze schützt unabhängig von der Klassifizierung der Malware. Ob Miner, Spyware, Ransomware oder APT – die eingefrorene Systempartition behandelt alle gleich: Nach dem Neustart ist der Originalzustand wiederhergestellt. Keine Tarnung der Welt kann diesen Mechanismus umgehen.