Spionage über Operation Pawn Storm

Originalartikel von Jim Gogolinski, Senior Threats Researcher

Pawn Storm ist eine aktive ökonomische und politische Cyberspionageoperation, die eine Vielfalt an Organisationen ins Visier nimmt, die meisten aus den Bereichen Militär, Regierung und Medien.

Zu den Zielen gehören:

  • Militärorganisationen, Botschaften und Rüstungskonzerne in den USA und bei deren Verbündeten
  • Oppositionspolitiker der russischen Regierung und Dissidenten
  • Internationale Medien
  • nationales Sicherheitsdezernat eines US-Verbündeten

Die Cyberkriminellen hinter der Operation Pawn Storm nutzen mehrere verschiedene Angriffsszenarien: Spear-Phishing-Emails mit bösartigen Microsoft Office-Dokumenten führen zu SEDNIT/Sofacy-Schadsoftware, ausgewählte Exploits, die in legitime Websites eingebettet werden und ebenfalls zu SEDNIT/Sofacy führen, sowie Phishing-Mails, die die Opfer zu gefälschten Outlook Web Access-Loginseiten umleiten.

SEDNIT

Die Nachforschungen des Trend Micro-Bedrohungsteams haben gezeigt, dass die Hintermänner von Pawn Storm ihre Hausaufgaben gemacht haben. Die Wahl der Ziele und der Einsatz von SEDNIT-Schadsoftware lassen darauf schließen, dass es sich um sehr erfahrene Angreifer handelt. SEDNIT ist darauf ausgerichtet, die Verteidiung der Opferorganiationen zu durchbrechen und sich persistent dort einzurichten, um soviele Informationen wie möglich zu stehlen.


Bild 1. Phase 1 und 2 in einer Operation Pawn Storm-Attacke

Die bei einem Pawn Storm-Angriff verschickten Spear-Phishing-Mails gehen an ganz bestimmte Ziele. Beispielsweise wurden solche Mails nur an drei Angestellte der Rechtsabteilung eines multinationalen Milliarden Dollar schweren Unternehmens verschickt. Die Mailadressen der Empfänger sind nirgends veröffentlicht worden. Das Unternehmen war in einen wichtigen Rechtsstreit verwickelt, was ganz klar auf wirtschaftlich motivierte Spionage hindeutet. Glücklicherweise klickte keiner der Empfägner auf den Link in der Spear-Phishing-Mail und Trend Micro konnte das Unternehmen in einer sehr frühen Phase warnen, sodass kein Schaden entstand.

Die Angreifer sind seit mindestens 2007 aktiv und starten immer neue Kampagnen. Erst im Juni 2014 kompromittierten sie Regierungswebsites in Polen und im September die polnische Website für Power Exchange www.irgit.pl, indem sie einen bösartigen iFrame einfügten, die auf einen Exploit-Server yovtube[dot]co und defenceiq[dot]us zeigten. Dieser Exploit-Server agierte sehr selektiv beim Infizieren von Opfern mit SEDNIT.

Eine weitere von den Pawn Storm-Angreifern genutzte Technik ist eine sehr schlaue Phishing-Taktik, die sich als Opfer Nutzer von Outlook Web Access sucht. Weitere Einzelheiten folgen. Interessierte können auch weitere Informationen in dem Forschungspapier Operation Pawn Storm finden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*