Indisches Militärpersonal im Visier der “Operation C-Major”

Originalbeitrag von David Sancho und Feike Hacquebord, Senior Threat Researcher


Als die Sicherheitsforscher von Trend Micro eine Informationsdiebstahls-Kampagne in Indien entdeckten, stellte sich als erstes die Frage, ob hier cyber-militante Gruppen aus Pakistan das indische Militär ins Visier nehmen. Es wurden nämlich Reisepass-Scans, Foto-ID und Steuerdaten von 160 indischen Offizieren, Militärattachés, Beratern und Wiederverkäufer im Dienste des Militärs gestohlen. Es gibt Hinweise darauf, dass die Angreifer außerhalb von Pakistan operieren, wobei es keine Beweise für Beziehungen zur Regierung gibt.

Die Forscher entdecken die “Operation C-Major” im Zuge der Überwachung anderer gezielter Angriffskampagnen. Die Operation ist nicht sehr raffiniert, doch konnten die Hintermänner dennoch kritische Informationen abziehen, die wahrscheinlich aus zulassungsbeschränkten Quellen der indischen Regierung stammen. Dies zeigt auch, dass gezielte Angriffe nicht gut geplante Operationen sein müssen, die von einem hohen Budget und ausreichend Ressourcen gestützt werden. Was den Angreifern an technischer Raffinesse fehlt, gleichen sie durch Beharrlichkeit, Persistenz und schlauem Social Engineering aus.

Beschreibung der Operation

Die Operation verfügt über die Fähigkeiten zum Informationsdiebstahl, die von einem typischen gezielten Angriff zu erwarten sind – wenn auch einem nicht besonders gut ausgeführten. Wahrscheinlich war der Angriff finanziell nicht so gut ausgestattet wie andere, doch die Hintermänner bemühten sich beharrlich über Social Engineering in die anvisierten Netzwerke einzudringen.

Die Umgebungen der Server ließen sich nicht komplett verbergen, was zur Entdeckung von Informationen, die Ziele betreffend, führte. Die Kampagne führt auch vor Augen, dass sogar Militäroffiziere (die eigentlich darauf vorbereitet sind, mit verdächtigen Personen umzugehen) auf Social Engineering-Köder hereinfallen können.

Ziele erreichen

Wie allgemein üblich in diesen Fällen, schickten die Angreifern den Zielpersonenen zuerst Mails mit Betreffs und Text, der zum Opfer passte. Eine solche Mail etwa kam angeblich vom indischen Verteidigungsminister. Die Mail ging an den Militärattaché eines anderen Landes.


Bild 1. Mails, die an die Zielpersonen geschickt wurden (zum Vergrößern anklicken)

Die Hauptziele waren Stabsoffiziere des indischen Militärs – Brigadiere, Obersten, Oberstleutnants, Majore und sogar einige Leutnants.

Schludrige Programmierpraxis

Die Schadsoftware war mit Visual Studio in ein MSIL-Binary kompiliert worden. Das heißt, der ursprüngliche Quellcode war wahrscheinlich in VB# (Visual Basic .NET) or C# (.NET Version von C++) erstellt worden. Die Entwickler wussten anscheinend nicht, dass diese Programme einfach zu dekompilieren sind: Die Angreifer lieferten also den Quellcode frei Haus. Kein wirklich raffinierter Angreifer hätte seine Schadsoftware auf diese Weise erstellt.

Gestohlene Informationen

Die Analyse förderte drei C&C-Server für diesen Angriff zutage. Die Server umfassten auch offene Verzeichnisse, wo die gestohlenen Daten lagen, sodass die Forscher sehen konnten, welche Informationen gestohlen worden waren. Es waren ID-Daten wie Reisepass-Scans und weitere Mittel zur Identifizierung, Gehalts- und Steuerdaten (vor allem als pdf-Zahlungsanweisungen), Militärstrategie- und taktische Dokumente, Schulungsdokumente und persönliche Fotos.




Bild 2-4. Gestohlene Daten von ausgewählten Zielen

Quellen

Ein C&C-Server befand sich hardcodiert in der Schadsoftware selbst. Die Forscher konnten sehen, dass sowohl Windows- als auch mobile Schadsoftware sich diesen Server in Pakistan teilten. Wahrscheinlich würde derselbe Server auch für Versuche genutzt, Android-Benutzer beim indischen Militär auszuspionieren.

Aus der Tatsache, dass sich der Server in Pakistan befand, lässt sich schließen, dass zumindest einige der Angreifer ebenfalls von dort kommen. Es gibt keine Hinweise auf eine staatliche Förderung der Angriffe. Auch wirft die Einfachheit des Angriffs Fragen auf. Zumindest die Ziele und der allgemeine Zweck des Angriffs sind klar: geheime Informationen vom indischen Militär zu entwenden.

Schutz vor ähnlichen Angriffen

Angreifer können bei ihren Zielen ins Netzwerk eindringen, auch wenn sie nur über eingeschränkte Mittel verfügen. Die Verteidigung gegen diese Bedrohungen sollte natürlich technischer Natur sein, doch sollte niemand unterschätzen, wie gefährlich die einfachen Social Engineering-Angriffe sein können. Die Hintermänner benötigen keine ausgeklügelten Tools, um erfolgreiche Angriffe zu fahren. Das Gleiche aber lässt sich auch über die Verteidigung sagen.

Technische Einzelheiten zum Angriff finden Interessierte unter “Operation C-Major: Information Theft Campaign Targets Military Personnel in India.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*