Pawn Storm: politische Angriffsziele in Deutschland und Frankreich

Originalbeitrag von Ross Dyer, Trend Micro

Wer dachte, alles über die Hacker der Pawn Storm-Gruppe zu wissen, muss sich eines Besseren belehren lassen. Der neue Forschungsbericht von Trend Micro bringt neue Einsichten zur bislang am längsten tätigen Cyberspionage-Gruppe. Während in den Vereinigten Staaten noch die Auswirkungen der dreisten Kampagne gegen Mitglieder der Demokratischen Partei diskutiert werden, startete Pawn Storm schon eine nächste Operation, mit der die Gruppe versucht, die öffentliche Meinung vor den Wahlen in Frankreich und in Deutschland zu beeinflussen. Die Sicherheitsforscher entdeckten mehrere Phishing-Domänen, über welche die Gruppe den französischen Präsidentschaftskandidaten Emmanuel Macron und deutsche politische Organisationen der beiden großen Volksparteien ins Visier nimmt. Der Bericht „Zwei Jahre Pawn Storm“ beschreibt eine sehr gut organisierte und versierte Gruppe, deren Taktiken jeder IT-Sicherheitsfachmann kennen sollte, um die Verteidigung seiner Organisation entsprechend verbessern zu können.

Eine kurze Geschichte Pawn Storms

Die Gruppe, auch als Sednit5, Fancy Bear, APT286 7, Sofacy und STRONTIUM8 bekannt, wurde 2004 gegründet. Sie war immer sehr aktiv, und Trend Micro hat seit 2014 mehr als ein Dutzend detaillierte Veröffentlichungen dazu verfasst. Zwar ist eine Zuordnung immer problematisch, doch stellen die Sicherheitsforscher fest, dass die Angriffsziele weitgehend mit russischen Interessen zu tun haben. Dazu gehörten die Antidoping-Agentur WADA, die NATO, die US-Armee sowie ukrainische Aktivisten, Regierung und Militär.

Doch in letzter Zeit begann die Gruppe anscheinend neue Kampagnen aufzusetzen, die darauf zugeschnitten sind, mithilfe von Spionagefähigkeiten die öffentliche Meinung zu manipulieren. Dies zeigte sich ganz deutlich mit dem Hacking von offiziellen Mitarbeitern der Democratic National Convention (DNC) und dem Democratic Congressional Campaign Committee (DCC) vor den US-Wahlen, die dann der von Vladimir Putin präferierte Kandidat Donald Trump gewann. In dieser und anderen Kampagnen versuchte sich die Gruppe hinter gefälschten „Hacktivisten“-Profilen wie etwa Guccifer 2.0 zu verstecken, um gestohlene Informationen über Massenmedien und Sites wie WikiLeaks zu veröffentlichen.

Trotzdem wissen die Sicherheitsforscher, dass tatsächlich Pawn Storm dahintersteckt, denn die C&C-Serveraktivitäten und Phishing-Mails wurden überwacht sowie Schadsoftware-Samples, die auf den Servern gefunden wurden in Bezug zur Gruppe gesetzt.

Tausende Angriffsziele

Es handelt sich zweifelsohne um eine gut ausgerüstete, hoch aggressive Gruppe, die eine stets aktualisierte Liste mit tausenden Angriffszielen unterhält. Es gab teilweise bis zu 50 Phishing-Kampagnen innerhalb von neun Monaten.

Interessanterweise ist eine der Hauptmethoden für die Infiltrierung und das Sammeln von Informationen von einem Angriffsziel eine relativ übliche: Credential Phishing (Diebstahl von Anmeldeinformationen) von Webmail-Konten wie Google oder Yahoo. Aber auch hier haben die Akteure die Kunst des Phishings auf eine nächste Stufe gehoben, indem sie Mails in fehlerfreier Sprache verschicken, Spam-Filter einfach umgehen und sogar eine sichere Verbindung spoofen, um die Angst der Nutzer zu zerstreuen. Sobald sie dann Zugang zu einem Mailkonto haben, exfiltrieren sie Daten – manchmal auch ein Jahr lang. Diese Daten werden entweder veröffentlicht, um wie in den USA die Publikumsmeinung zu beeinflussen, es werden bestimmte Bürger eines Landes ausspioniert, oder die Angreifer versuchen, über das kompromittierte Mailkonto tiefer ins Netzwerk des Opfers einzudringen.

Zu den weiteren von Trend Micro beobachteten Taktiken gehören folgende:

  • Spear Phishing mit Nachrichten von öffentlichem Interesse als Köder,
  • Tabnabbing als Teil des Credential Phishing: Umleitung von Nutzern von einer legitimen URL in einem offenen Tab des Browsers auf eine Phishing Site,
  • DNS Switching: Kompromittieren von Unternehmens-Mailservern und Ändern de Einstellungen, sodass sie auf einen fremden Server zeigen,
  • Watering Hole-Angriffe,
  • C&C-Server der zweiten Stufe: Nicht alle Phishing-Ziele werden infiziert. Zuerst sammelt Pawn Storm Informationen wie IP-Adresse, Zeitzone, Browser Plug-ins usw., und erst dann wird entschieden, ob das Ziel mit Malware der ersten Stufe für die Erkundung infiziert wird. Einige wenige hochrangige Ziele werden dann für eine Infektion der zweiten Stufe mit Malware wie X-Agent ausgesucht.

Es bleibt abzuwarten, ob die Pawn Storm-Hacker belastendes Material zu Emmanuel Macron oder politischen Organisationen wie die CDU-nahe Konrad Adenauer Stiftung sowie die SPD-nahe Friedrich Ebert Stiftung sammeln konnten.

Gegenmaßnahmen

IT-Sicherheitsverantwortliche haben es mit einem sehr persistenten und aggressiven Gegner zu tun, doch ist es nicht unmöglich, die eigenen Systeme besser zu sichern. Folgende Empfehlungen sind eine Überlegung wert:

  • Reduzieren der Angriffsfläche über Air-Gap-Systeme
  • Verpflichtender Zugriff über VPN für Remote-Mitarbeiter
  • Minimieren der Zahl der zu wartenden Domänennamen und Zentralisieren der Mail-Server
  • Sicherstellen, dass der eigene Registrar Zweifaktor-Authentifizierung des DNS-Administratorkontos zur Verfügung stellt
  • Einführen von Zweifaktor-Authentifizierung für die gesamte Unternehmens-Webmail, oder besser noch mit physischen Zugriffsschlüssel
  • Training der Mitarbeiter zur Sicherheit von Webmail und Sicherstellen, dass sie diese Konten nicht für die Arbeit nutzen
  • Regelmäßige Pen-Tests des Netzwerks
  • Software immer auf aktuellem Stand halten.

Weitere Informationen zu Pawn Storm-Tools, Techniken und Prozeduren sowie weitere Tipps für den Umgang mit dem Risiko liefert Trend Micros neuer Forschungsbericht „Zwei Jahre Pawn Storm“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*