Startseite > Security > Hacker-Gruppe "Rocket Kitten" noch immer aktiv

Die Katze lässt das Spionieren nicht

Hacker-Gruppe "Rocket Kitten" noch immer aktiv

14. September 2015, 7:56 Uhr | LANline/jos

Im März hatte Trend Micro einen Spionageangriff gegen Behörden, akademische Einrichtungen und Unternehmen aufgedeckt, die sich auf unterschiedliche Arten mit Iran beschäftigen. Seitdem haben die Bedrohungsforscher des japanischen IT-Sicherheitsanbieters zusammen mit ihren Kollegen bei Clearsky, die hinter dem Angriff steckende Hacker-Gruppe "Rocket Kitten" weiter beobachtet und können nun nach eigenen Angaben ein klareres Bild der Taktiken und Ziele zeichnen.

Die nach wie vor aktiven Kriminellen konzentrieren sich demnach auf Einzelpersonen, die sich in Diplomatie, internationalen Angelegenheiten, Politikforschung, Journalismus und Menschenrechten engagieren. Sie zeigen dabei ein hohes Maß an Hartnäckigkeit, Aggressivität und Kreativität, wie der Fall einer iranischen Wissenschaftlerin belegt, die Mitglieder der dortigen Widerstandsbewegung öffentlich unterstützte und so ins Visier der Angreifer kam. Was „Rocket Kitten“ deutlich von anderen Gruppierungen unterscheidet, sind zwei Faktoren: Spionage und politischer Kontext. Details zu den Forschungsergebnissen finden sich hier.

Die größte Gefahr geht von cyberkriminellen Gruppen aus, die den Willen und die Möglichkeiten besitzen, ein Unternehmen, eine Behörde oder einzelne Mitarbeiter so lange anzugreifen, bis sie ihr Ziel erreicht haben. Zielgerichtete Angriffe gehören dabei längst zum Standardrepertoire. Deren Zweck besteht typischerweise darin, sich unentdeckt Zugang zu sensiblen Dokumenten zu verschaffen, um vertrauliche Informationen oder geistiges Eigentum zu stehlen und dann weiterzuverkaufen, nicht jedoch darin, Schäden oder Störungen zu verursachen.

Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro, erläutert: „Hier besteht eine direkte Verbindung zur traditionellen Spionage. Man kann sagen, dass sich zielgerichtete Angriffe aus dem Handwerk klassischer Spionage weiterentwickelt haben. Neben der rechtzeitigen Aufdeckung liegt die Schwierigkeit darin, die Identitäten der Angreifer und ihrer Geldgeber, ihre Motivation und den geografischen Ausgangspunkt der Angriffe zu ermitteln.“

Derartige Vorfälle werden selten publik. Es ist daher schwierig, genaue Aussagen über gestohlene Daten und deren anschließende Verwendung zu treffen. Generell werden Fälle von Cyberspionage jedoch oft Nationalstaaten zugerechnet: Sie besitzen die größte Motivation und können am ehesten Finanzierung und konsequente Durchführung gewährleisten, ohne entdeckt zu werden.

Im vorliegenden Fall handelt es sich laut Trend Micro um einen eindeutigen Fall von politisch inspirierter oder motivierter, staatlicher Spionage. Verschiedene IT-Sicherheitsforscher beobachten die Hacker-Gruppe seit Mitte 2014. Andere Quellen lassen vermuten, dass sie bereits seit 2011 aktiv ist und 2014 ihre Aktivitäten verstärkt hat. Anhand ihrer Untersuchungen gehen die Forscher davon aus, dass hinter „Rocket Kitten“ Cyberkriminelle stehen, die sich aus bislang noch ungeklärten Gründen auf ein neues Territorium begeben haben.

Um herauszufinden, wie sie ihre Opfer am besten angreifen können, nutzten die Angreifer „Ghole“. Dabei handelt es sich um die bösartige Variante des Penetrationstest-Tools „Core Impact Pro“, das aufgrund seiner Leistungsfähigkeit in vielen Unternehmen genutzt wird, aber auch großes Missbrauchspotenzial enthält. Weiteres interessantes Detail: Es gibt einen Zusammenhang mit dem Hacking-Team-Hack, viele der dort entdeckten Werkzeuge und Zero-Day-Sicherheitslücken wurden von „Rocket Kitten“ genutzt.

Udo Schneider führt aus: „Die Kriminellen nutzen keine technisch ausgefeilten Fähigkeiten, die verwendeten Infektionsvektoren sind sehr einfach und die Malware ist meist zugekauft. Was niemanden dazu verleiten sollte, ‚Rocket Kitten‘ für weniger gefährlich zu halten – diese ‚Mängel‘ machen sie durch ein hohes Maß an Hartnäckigkeit, Aggressivität und Wendigkeit mehr als wett. Die von uns untersuchten Fälle offenbaren neben einer sorgfältigen Planung auch große Kreativität.“

Die Kriminellen wussten offenbar genau, wen sie angreifen wollten, und bedienten sich dazu einer hochprofessionellen Aufklärung, sodass „Kollateralschäden“ nur selten zu verzeichnen waren. Oft versuchten sie es über personalisierte E-Mails, mit auf die jeweiligen Interessen ihrer Zielpersonen zugeschnittenen Inhalten. In manchen Fällen griffen sie sogar zum Telefonhörer, um sich das Vertrauen ihrer Opfer zu erschleichen. Dies war der Fall bei einem Bedrohungsforscher, der zuvor nicht auf Kontaktversuche via gefälschten Facebook-Profilen hereingefallen war. Das Neue daran ist die Usurpation der Identität eines Bedrohungsforschers.

Dieser hohe Grad an Interaktion ist unüblich, offenbar ist „Rocket Kitten“ kein Aufwand zu groß. Am auffälligsten ist die hohe Anzahl an Versuchen, mit denen sie dieselben Ziele so lange wie nötig angreifen – auch wenn es dazu täglich neuer Versuche und Ablenkungsmanöver bedarf.

Daies zeigt das Beispiel von Dr. Thamar E. Gindin, einer auf iranische Philologie und vorislamische Iranistik spezialisierten Wissenschaftlerin, die am „Ezri Center for Iran and Persian Gulf Research” der Universität Haifa in Israel lehrt. Sie war offenbar ins Visier der Kriminellen geraten, weil sie öffentlich aktive Mitglieder der Widerstandsbewegung gegen das iranische Regime unterstützte.

Weitere Informationen sind im deutschsprachigen Trend Micro-Blog zu finden. Der Forschungsbericht „The Spy Kittens Are Back: Rocket Kitten 2“ ist ebenfalls über diesen Eintrag abrufbar.