Remote-Access-Attacken
Welle von "Molerats"-Cyberangriffen im Mai
Fireeye hat zwischen dem 29. April und dem 27. Mai 2014 eine neue Welle von Cyberangriffen aus dem Nahen Osten festgestellt. Betroffen waren davon unter anderem mehrere europäische Regierungseinrichtungen und eine große Rundfunkanstalt.
Diese neue Angriffswelle steht im Zusammenhang mit Aktionen einer Gruppe aus dem Nahen Osten, die bei "FireEye" als "Molerats" bekannt ist. Bereits im August 2013 berichtete der Spezialist für Cybersicherheit von einer Reihe von Angriffen auf Ziele in Nahost und den USA, die mittels des Remote-Access-Tools "Poison Ivy" (PIVY) durchgeführt wurden. Durch die Wiederverwendung von Command-and-Control-Infrastrukturen und ähnlichen Tools, Taktiken und Prozessen (TTPs) konnte die weitere Aktivität der Gruppe nachverfolgt werden. Dadurch konnte auch eine wachsende Zahl von Zielen ihrer Angriffe ausgemacht werden.
Unter diesen befinden sich Ziele israelischer und palästinensischer Überwachung, Ministerien verschiedener Staaten – beispielsweise Israels, der Türkei, Sloweniens, der USA und Großbritanniens –, das Büro des Nahost-Quartetts, die britische Rundfunkanstalt BBC, ein großes US-Finanzinstitut und mehrere weitere europäische Regierungseinrichtungen. Sie alle wurden im genannten Zeitraum Ziel von Angriffen der Gruppe.
Bei „Molerats“-Angriffe werden nicht selten gewöhnliche und frei erhältliche Hintertürchen, wie "CyberGate" und Bifrost, benutzt. Am häufigsten jedoch konnten die Nutzung von PIVY und Xtreme RATs ausgemacht werden. Bisherige Aktionen der Gruppe machten von mindestens einem von drei beobachteten gefälschten Microsoft-Zertifikaten Gebrauch, die Sicherheitsforschern erlauben, die unterschiedlichen Angriffe präzise miteinander in Verbindung zu bringen – auch, wenn unterschiedliche Hintertürchen benutzt worden waren. Zudem ist der Einsatz von Ködern in Form von Text-Dateien in jeweils englischer oder arabischer Sprache auffällig, die sich inhaltlich mit bestehenden Konflikten im Nahen Osten auseinandersetzen. Diese Köder enthalten schädliche Files, die – zuletzt ausschließlich – Xtreme-RAT-Binärdateien ausführen.
Diese Taktik erweckt den Anschein, dass sich die Angreifer nicht darüber im Klaren sind, dass Sicherheitsexperten ihre Aktivitäten zurückverfolgen können, obwohl sie gleichzeitig versuchen, auffällige, wiederkehrende Muster zu vermeiden, um eben dies zu verhindern.
„Obwohl eine große Zahl der Angriffe auf unsere Kunden aus China zu stammen scheint, haben wir auch weniger bekannte Akteure im Blick, die selbige Unternehmen zum Ziel haben. „Molerats“-Aktionen zeigen sich als auf frei erhältliche Malware begrenzt, ihre größer werdende Anzahl von Zielen und ihre sich kontinuierlich entwickelnden Techniken sind jedoch beachtenswert“, sagt Alexander Bünning, Regional Director DACH bei FireEye.
Da die Aufmerksamkeit in der Cybersicherheit derzeit eher chinesischen Hackern zukommt, werden Akteure aus anderen Teilen der Welt schnell aus den Augen verloren. In diesem Zusammenhang hat FireEye kürzlich unter anderem auch auf die Aktivitäten des iranischen „Ajax Security Teams“ hingewiesen.
Unter diesen befinden sich Ziele israelischer und palästinensischer Überwachung, Ministerien verschiedener Staaten – beispielsweise Israels, der Türkei, Sloweniens, der USA und Großbritanniens –, das Büro des Nahost-Quartetts, die britische Rundfunkanstalt BBC, ein großes US-Finanzinstitut und mehrere weitere europäische Regierungseinrichtungen. Sie alle wurden im genannten Zeitraum Ziel von Angriffen der Gruppe.
Bei „Molerats“-Angriffe werden nicht selten gewöhnliche und frei erhältliche „Hintertürchen“, wie CyberGate und Bifrost, benutzt. Am häufigsten jedoch konnten die Nutzung von PIVY und Xtreme RATs ausgemacht werden. Bisherige Aktionen der Gruppe machten von mindestens einem von drei beobachteten gefälschten Microsoft-Zertifikaten Gebrauch, die Sicherheitsforschern erlauben, die unterschiedlichen Angriffe präzise miteinander in Verbindung zu bringen – auch, wenn unterschiedliche „Hintertürchen“ benutzt worden waren. Zudem ist der Einsatz von Ködern in Form von Text-Dateien in jeweils englischer oder arabischer Sprache auffällig, die sich inhaltlich mit bestehenden Konflikten im Nahen Osten auseinandersetzen. Diese Köder enthalten schädliche Files, die – zuletzt ausschließlich – Xtreme-RAT-Binärdateien ausführen.
Diese Taktik erweckt den Anschein, dass sich die Angreifer nicht darüber im Klaren sind, dass Sicherheitsexperten ihre Aktivitäten zurückverfolgen können, obwohl sie gleichzeitig versuchen, auffällige, wiederkehrende Muster zu vermeiden, um eben dies zu verhindern.
„Obwohl eine große Zahl der Angriffe auf unsere Kunden aus China zu stammen scheint, haben wir auch weniger bekannte Akteure im Blick, die selbige Unternehmen zum Ziel haben. „Molerats“-Aktionen zeigen sich als auf frei erhältliche Malware begrenzt, ihre größer werdende Anzahl von Zielen und ihre sich kontinuierlich entwickelnden Techniken sind jedoch beachtenswert“, sagt Alexander Bünning, Regional Director DACH bei FireEye.
Da die Aufmerksamkeit in der Cybersicherheit derzeit eher chinesischen Hackern zukommt, werden Akteure aus anderen Teilen der Welt schnell aus den Augen verloren. In diesem Zusammenhang hat FireEye kürzlich unter anderem auch auf die Aktivitäten des iranischen „Ajax Security Teams“ hingewiesen.
Lesen Sie mehr zum Thema
