Operation Pawn Storm intensiviert die Aktivitäten mit Angriffen auf NATO und Weißes Haus

Originalartikel von Feike Hacquebord, Senior Threat Researcher

Die langfristige APT-Kampagne Operation Pawn Storm hat das Jahr 2015 mit der Einführung einer neuen Infrastruktur und Zero-Day-Angriffen auf Ziele wie North Atlantic Treaty Organization (NATO)-Mitglieder oder gar das Weiße Haus begonnen. Dies zeigten die Daten der Bedrohungsforschung von Trend Micro. Einzelheiten zu der Kampagne gibt der Bericht „Operation Pawn Storm“.

Hintergrund

Operation Pawn Storm (deutsch: „Operation Bauernsturm“) ist eine aktive Operation für wirtschaftliche und politische Cyber-Spionage, die eine ganze Reihe von Organisationen im Visier hat, etwa im Militär-, Regierungs-, Verteidigungs- und Medienbereich.

Die Gruppe der Bedrohungsakteure ist seit 2007 aktiv und hat eine sehr eigene Vorgehensweise. Ihren Namen hat sie erhalten, weil sie mehrere verbundene Tools und Taktiken einsetzt, um ein bestimmtes Ziel zu treffen – eine Strategie, die einen Schachzug mit demselben Namen widerspiegelt.

Die Gruppe nutzt drei sehr unterschiedliche Angriffsszenarien. In einem davon verschicken die Akteure Spear Phishing-Mails mit bösartigen Office-Dokumenten, die den Information Stealer SEDNIT/Sofacy enthalten. In einem anderen Szenario fügten sie ausgewählte Exploits in die Websites der polnischen Regierung ein, was zu derselben Schadsoftware führte. Schließlich verschickten sie Phishing-Mails, die Nutzer auf gefälschte Microsoft Outlook Web Access (OWA)-Anmeldeseiten umleiteten.

Die Ziele von Pawn Storm waren die USA und deren Verbündete. Die Bedrohungsforscher fanden heraus, dass die Gruppe auch russische Dissidenten und Oppositionelle angriffen, aber auch ukrainische Aktivisten und Militärs. Das führte zu Spekulationen darüber, dass eine Verbindung zur russischen Regierung möglich sei.

Im Februar dieses Jahres gab es ein Update in Form einer iOS Spionage-App, die auf Apple-Nutzer zielte.

Neues bei Operation Pawn Storm

Im ersten Quartal 2015 gab es eine Menge Aktivitäten. Zu beobachten war vor allem das Aufsetzen Dutzender Exploit URLs und neuer C&C-Server, die auf NATO-Mitglieder und Regierungen in Europa, Asien und dem Mittleren Osten zielten.

Eine vom Üblichen leicht abweichende Vorgehensweise bestand darin, eigens erstellte E-Mails zu verschicken, die die Empfänger dazu überlisten sollten, auf einen bösartigen Link zu klicken.


Bild 1. Beispiel einer Spear Phishing-E-Mail

Der Betreff einer dieser Spam Mails war das Thema Südlicher Gaskorridor, ein Projekt der EU für mehr Unabhängigkeit vom russischen Gas. Andere Mails hatten ähnliche geopolitische Betreffs, etwa den Ukraine-Konflikt und die Open Skies Consultative Commission der OSCE.

Die E-Mails haben üblicherweise einen Link auf eine legitim erscheinende Nachrichten-Site. Klickt ein Opfer auf den Link, so lädt es zuerst ein Fingerprinting-Skript, das Informationen wie Betriebssystem, Zeitzone, Browser und installierte Plugins an die Angreifer meldet. Erfüllen diese Daten bestimmte Kriterien, so antwortet die gefälschte Site mit einer Nachricht, dass ein HTML5-Plugin installiert wurde, um die Inhalte der Site sehen zu können. Dieser Zusatz ist eine Version der X-Agent- oder Fysbis-Spyware für Linux, bzw. Sednit für Windows.


Bild 2. Screenshot des bösartigen HTML5-Plugins

Dieselben alten Tricks

Die Pawn Storm-Hintermänner führen auch ihre Phishing-Strategie fort. Bereits im Herbst 2014 setzten sie ein gefälschtes OWA Webmail für eine große US-Firma auf, die Kernbrennstoff an Kraftwerke verkauft.


Bild 3. Gefälschte Webmail-Anmeldeseite einer US-Firma, dieKernbrennstoff verkauft

Es bedarf nicht viel Phantasie, um sich vorzustellen, was für Konsequenzen ein erfolgreicher Einbruch in diese Firma hätte. Andere gefälschte OWA-Server zielten auf die Streitkräfte zweier europäischer NATO-Mitglieder. Im Februar wurde auch eine gefälschte Version des Webmail-Systems der NATO Liaison in der Ukraine Online gestellt.

Angriff auf das Weiße Haus

Trend Micro hat Beweise dazu gesammelt, dass dieselbe Gruppe auch das Weiße Haus im Visier hat. Sie nahmen mit einem Gmail Phishing-Angriff am 26. Januar drei bekannte YouTube-Blogger aufs Korn. Das war vier Tage, nachdem die Blogger Präsident Obama im Weißen Haus interviewt hatten. Dies ist eine klassische „Island Hopping“-Technik, bei der die Angreifer ihre Bemühungen nicht auf das tatsächliche Ziel richten, sondern auf Organisationen oder Personen, die mit dem Ziel interagieren und vielleicht schwächere Sicherheitsmaßnahmen getroffen haben.

Auf ähnliche Weise wurde ein bekannter Korrespondent einer großen US-Zeitung über seine persönliche Mailadresse im Dezember 2014 angegriffen. Noch in demselben Monat griff Operation Pawn Storm etwa 55 Mitarbeiter derselben Zeitung über deren Unternehmenskonten an.

Organisationen müssen auf diese Art der Angriffe vorbereitet sein, denn die Gruppe wendet große Mühe auf, um ihre E-Mails glaubwürdig erscheinen zu lassen. Militär- und Regierungsbehörden in den USA, Europa und Asien sollten in die richtigen fortschrittlichen Sicherheits-Tools investieren, um Phishing- und Schadsoftware-Downloads blockieren zu können. Des Weiteren ist die Schulung der Nutzer wichtig, um die Risiken eines Angriffs zu mindern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*