Pawn Storms Kampagne zur Binnenspionage aufgedeckt; Ukraine und USA Hauptziele weltweit

Originalbeitrag von Feike Hacquebord (Senior Threat Researcher)

Warum sollte Pawn Storm, die langlebige Cyber-Spionage-Kampagne, sich gegen eine russische Punk-Rockgruppe wenden? Sicher, Pussy Riot gibt Anlass zur Kontroverse. Mitglieder dieser feministisch ausgerichteten Band wurden in der Vergangenheit für ihre subversiven Statements gegen die Orthodoxe Kirche und das patriarchale System in Russland ins Gefängnis gesteckt. Aber warum sollten sich Angreifer für sie interessieren? Worin besteht die Verbindung zu anderen Zielen?

Wir haben in diesem Jahr bereits berichtet, dass es die Hintermänner hinter Pawn Storm (deutsch: „Operation Bauernsturm“) auf Mitgliedstaaten der North Atlantic Treaty Organization (NATO), das Weiße Haus und das deutsche Parlament abgesehen haben. Davor konzentrierten sie sich auf verschiedene Botschaften und Militärattachés in mehreren Ländern. Pawn Storms Ziele waren in der Vergangenheit vornehmlich externe politische Entitäten außerhalb Russlands. Allerdings legt unsere Analyse nahe, dass nicht wenige Ziele dieser Kampagne innerhalb der russischen Grenzen gefunden werden können.

Binnenspionage in Russland

Die russischen Spione hinter Pawn Strom sind nicht zimperlich. Sie observieren sogar ihre Mitbürger. Phishing-Angriffe auf Zugangsdaten, die gegen russische Staatsbürger gerichtet sind, sind ein Fall von Binnenspionage. Abbildung 1 zeigt die relativen Anteile der Ziele nach Bereichen.

Abbildung 1

Abbildung 1. Primär anvisierte Bereiche in Russland

Viele Friedensaktivisten, Blogger und Politiker wurden ebenfalls Ziele in Russland. Einige der prominenteren Ziele sind:

Politiker Ein ehemaliger russischer Premierminister und ein prominentes Mitglied von Vereinigtes Russland
Künstler Zwei Mitglieder von Pussy Riot und ein berühmter russischer Rockstar
Medien Journalisten von slon.ru, The New Times, TV Rain, Novaya Gazeta, Jailed Russia, und anderer Medien, die das aktuelle Regime in Russland kritisieren, sowie die Apostol Mediengruppe
Softwareentwickler Der CEO einer russischen Firma, die Verschlüsselungssoftware entwickelt, und ein mail.ru-Entwickler

Aus dieser Liste wird unmittelbar ersichtlich, dass es die Hintermänner der Kampagne auf potentielle Dissidenten des aktuellen Regimes in Russland abgesehen haben. Pussy Riots Kritik an der Regierung macht sie vor diesem Hintergrund zu einem logischen Ziel. Dass aber auch Softwareentwickler sowie die Apostol Mediengruppe zu den Zielen gehören, ist bemerkenswert. Die Tatsache, dass mindestens ein aktiver russischer Militärattaché in einem NATO-Mitgliedsland von Pawn Storm anvisiert wurde, macht die Motive der Spione noch eigentümlicher.

Die Ukraine- und US-Connection

In Abbildung 2 sehen wir die zehn Hauptzielländer von Pawn Storm. Auf die Ukraine entfällt der Löwenanteil. Mit 25 Prozent liegt das Land gleichauf mit Russland und den Vereinigten Staaten zusammen. Diese drei Länder pflegen zurzeit wechselvolle Beziehungen aufgrund aufeinanderprallender politischer Interessen.

Abbildung 2

Abbildung 2. Die zehn Hauptzielländer von Pawn Storm

Das Militär, die Medien, die Regierung und politische Persönlichkeiten in der Ukraine wurden gleichermaßen anvisiert. Diese vier Kategorien machen allein rund zwei Drittel aller Ziele in diesem Land aus:

Abbildung 3

Abbildung 3. Primäre Ziele in der Ukraine nach Bereichen

Was die USA angeht, stehen die Rüstungsindustrie und das Militär (Luftwaffe, Marine und Heer) im Visier der Angreifer. Aber auch Think Tanks und Universitäten gehören zu den Zielen. Außerdem zeigt Pawn Storm ein besonderes Interesse an Forschern in der Ölindustrie und am Nuklearenergiebereich.

Abbildung 4

Abbildung 4. Primäre Ziele in den USA nach Bereichen

Die Angriffsversuche waren Teil einer größeren Kampagne mittels Zehntausender Phishing-Attacken auf die Zugangsdaten interessanter Nutzer verschiedener E-Mail-Anabieter wie Gmail, Yahoo, Hushmail, Outlook sowie von Anbietern in der Ukraine, im Iran, in Norwegen und sogar in China.

Großbritannien ist ebenfalls ein wichtiges für Pawn Storm, die Mehrzahl der Angriffe richtet sich jedoch gegen Osteuropäer, die in Britannien leben.

Phishing-Angriff auf Zugangsdaten – ein Fallbeispiel

Die Art der Infiltration variiert. Einige Kampagnen nutzten Malware und Sicherheitslücken. Pawn Storm missbrauchte mindestens sechs Zero-Days-Lücken, darunter die schwerwiegende Java-Sicherheitslücke CVE-2015-2590. Eine prominente Angriffsmethode ist das so genannte fortgeschrittene Credential-Phishing. Wir konnten 2014 und 2015 Daten zu über 12.000 individuellen Phishing-Angriffen auf Zugangsdaten sammeln. Dadurch ist es uns möglich, statistisch belastbare Zahlen zu den weltweiten Pawn-Storm-Zielen anzugeben.

Um die Credential-Phishing-Angriffe von Pawn Storm zu illustrieren, konzentrieren wir uns kurz auf eine bestimmte Attacke auf interessante Yahoo-Nutzer von Anfang Juli 2015.

Abbildung 5Abbildung 5. Gezielter Angriff auf Yahoo-Zugangsdaten per Phishing-E-Mail

Diese Phishing-Attacke versuchte, ausgewählte Yahoo-Nutzer davon zu überzeugen, Pawn Storm den vollen Zugang zu ihren Postfächern mittels OAuth zu geben – dabei handelt es sich um ein Open-Standard-Authentifizierungsprotokoll, das Yahoo Anwendungsentwicklern zur Verfügung stellt. Pawn Storm verschickte Phishing-Nachrichten, die einen „Mail Delivery Service“ für eine garantierte Zustellung von E-Mail-Nachrichten anboten. In Wirklichkeit jedoch wurde der Service dafür konzipiert, den Angreifern hinter Pawn Storm mittels OAuth Zugang zu den Ziel-Postfächern zu verschaffen. Yahoo-Nutzer, die das Angebot annehmen, würden Pawn Storm uneingeschränkten Zugang zu ihrer Mailbox gewähren.

Das Problem hierbei ist, dass die Phishing-Links auf eine legitime OAuth-Website von Yahoo verweisen. Deshalb könnten die Empfänger der Phishing-Nachrichten den Eindruck gewinnen, dass die Phishing-Webadressen harmlos seien.

Abbildung 6

Abbildung 6. Phishing-Site auf Yahoo.com, auf der die Pawn-Storm-Ziele in die Falle gelockt werden sollen, um vollen Zugang zu ihren Postfächern zu gewähren

Zwar können wir angesichts der Vielfalt der in den Kampagnen anvisierten Ziele nicht mit Sicherheit sagen, was die Absichten der Spione sind. Es sieht jedoch so aus, dass sie eine riesige Informationsdatenbank aufbauen, um mögliche gegen Russland gerichtete Bedrohungen zu erkennen. Wir werden die Kampagne und seine Entwicklung weiterhin beobachten.

Dies ist der jüngste Eintrag in einer ganzen Serie von Blogbeiträgen zu Operation Pawn Storm:

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*