Update zu Pawn Storm: Neue Ziele und politisch motivierte Kampagnen

Originalbeitrag von Feike Hacquebord, Senior Threat Researcher

Pawn Storm, eine extrem aktive Spionage-Gruppe, setzte auch in der zweiten Hälfte 2017 ihre dreisten Angriffe fort. Diese Attacken sind üblicherweise keine isolierten Vorkommnisse. Bei sorgfältiger Analyse der technischen Indizien und der Motive lassen sie sich zumeist mit früheren in Verbindung bringen. Seit 2015 hat es eine ganze Reihe von Pawn-Storm-Angriffen auf politische Organisationen in Deutschland, der Ukraine, Montenegro, in der Türkei, USA und in Frankreich gegeben. Im zweiten Halbjahr waren wieder Angriffe auf politische Organisationen zu beobachten. Sie wiesen keine technischen Neuerungen auf, waren jedoch gut vorbereitet, persistent, dreist, und es war häufig schwierig sich dagegen zu schützen. Pawn Storm verfügt über ein breites Tool-Set voller Social Engineering-Tricks, Schadsoftware und Exploits. Daher ist nicht viel Innovation erforderlich, abgesehen von gelegentlichen Zero Days und schnell ausgenutzten Software-Lücken.

In der zweiten Hälfte 2017 wurden mehrere Organisationen von Pawn Storm mit Phishing-Attacken auf Login-Informationen sowie Spear Phishing angegriffen. Die Handlungsweise der Gruppe ist über die Jahre ziemlich konsistent geblieben, und weist einige technische Tricks auf, die immer wieder verwendet werden. So wurde etwa Tabnabbing wieder gegen Yahoo-Nutzer eingesetzt über Mails mit politischen Themen. Bereits 2014 hatte Trend Micro vor dieser Methode gewarnt, bei der ein Browser-Tab so verändert wird, dass er auf eine Phishing-Site zeigt, nachdem das Opfer abgelenkt wurde.

Häufig lassen sich neue und alte Kampagnen über die Daten aus mehr als vier Jahren in einen engen Zusammenhang bringen. Das ist möglich, weil die Akteure der Gruppe beim Aufsetzen eines Angriffs einem Skript folgen. Das ist auch sinnvoll, weil die schiere Größe ihrer Angriffe eine sorgfältige Administration, Planung und Organisation benötigt, um erfolgreich zu sein. Die Darstellung zeigt zwei typische Mails mit Phishing nach Login-Informationen, die im Oktober und November 2017 bestimmte Organisationen anvisierten. Der eine Mail-Typus gibt vor, eine Nachricht vom Microsoft Exchange Server zu einem abgelaufenen Passwort zu sein, der andere Typus benachrichtigt über eine neue Datei im OneDrive System des Unternehmens.

Bild 1: Eine Art der Credential Phishing Mails, die Pawn im Oktober und November 2017 verschickte

Bild 2: Eine weitere Art der Credential Phishing Mails, die Pawn im November 2017 verschickte. Logo der Zielorganistionen wurden aus dem Screenshot entfernt und die Farbe geändert.

Auch wenn diese Mails nicht besonders fortschrittlich sind, so entdeckten die Sicherheitsforscher doch, dass Verluste von Credentials der Startpunkt für zusätzliche Angriffe waren, einschließlich des Diebstahls von vertraulichen Daten aus Mail-Eingängen. Trend Micro hat mit einem der Opfer zusammengearbeitet, einer NGO aus den Niederlanden, die zweimal im Oktober und November 2017 anvisiert worden war. Beide Male konnten die Angriffe erfolgreich abgewehrt werden. In einem der Fälle wurde das Opfer innerhalb von zwei Stunden gewarnt, nachdem eine dedizierte Credential Phishing Site aufgesetzt worden war. In einem früheren Fall wurde die Organisation 24 Stunden vor dem Versand der tatsächlichen Phishing-Mails gewarnt.

Organisationen der Olympischen Winterspiele

Zu den Zielen der Gruppe in 2017 gehörten einige der internationalen Organisationen des olympischen Wintersports, so etwa die European Ice Hockey Federation, die International Ski Federation, International Biathlon Union, International Bobsleigh and Skeleton Federation sowie die International Luge Federation. Auffällig daran ist die zeitliche Übereinstimmung mit dem lebenslangen Startverbot mehrerer russischer Sportler im Herbst 2017. 2016 hatte Pawn Storm einigermaßen erfolgreich die WADA (the World Anti-Doping Agency) und TAS-CAS (the Court of Arbitration for Sport) kompromittiert. Damals suchte Pawn Storm direkt oder über Proxies aktiv Kontakt zu Massenmedien und nahm einigen Einfluss darauf, was einige der Medien an gestohlenen Dokumenten beider Organisationen veröffentlichten.

Politische Ziele

In der Woche der Präsidentschaftswahlen in Iran 2017 setzte Pawn Storm eine Phishing Site auf, die Nutzer von chmail.ir Webmail im Visier hatte. Trend Micros Forscher konnten Beweismaterial sammeln darüber, dass Credential Phishing Mails am 18. Mai 2017 an chmail.ir-Nutzer geschickt wurden, also nur einen Tag vor der Wahl im Iran. Trend Micro berichtete bereits in der Vergangenheit über ähnliche Aktivitäten gegen politische Organisationen in Frankreich, Deutschland, Montenegro, der Türkei, Ukraine und den Vereinigten Staaten.

Seit Juni 2017 wurden Phíshing Sites aufgesetzt, die die ADFS (Active Directory Federation Services) des US-Senats nachahmten. Durch die Analyse des digitalen Fingerabdrucks dieser Sites und dem Abgleich mit einem riesigen Datenset aus fünf Jahren konnten sie eindeutig in Beziehung gesetzt werden mit Pawn Storm-Ereignissen aus 2016 und 2017. Der tatsächliche ADFS-Server des Senats ist im offenen Internet nicht zugänglich, doch das Phishing von Zugangsdaten von Nutzern ist dennoch sinnvoll. Für den Fall, dass ein Akteur nach der Kompromittierung eines Nutzerkontos in einer Organisation Fuß fassen kann, hilft ihm Credential Phishing dabei, näher an wichtige Nutzer heranzukommen.

Künftige politisch motivierte Kampagnen

Es ist nicht davon auszugehen, dass solche politisch beeinflusste Kampagnen in naher Zukunft aufhören. Politische Organisationen müssen mit ihren Wählern, der Presse und der allgemeinen Öffentlichkeit offen kommunizieren können. Damit sind sie durch Hacking und Spear Phishing angreifbar. Darüber hinaus kann die öffentliche Meinung relativ einfach über soziale Medien beeinflusst werden. Soziale Medien stellen auch weiterhin einen guten Teil der Online-Erfahrungen der Nutzer dar, und die Plattformen dienen auch den Werbetreibenden als Kontakt zu den Konsumenten.

Damit jedoch sind die Algorithmen der sozialen Medien anfällig für den Missbrauch durch verschiedene Akteure mit unlauteren Absichten. Das Veröffentlichen von gestohlenen Daten zusätzlich zur Verbreitung von Fake News und Gerüchten über soziale Medien liefern bösartigen Akteuren mächtige Werkzeuge an die Hand. Eine erfolgreiche Beeinflussungskampagne scheint recht einfach durchzuführen zu sein, doch bedarf es einer Menge an Planung, Persistenz und Ressourcen. Einige der benötigten Basis-Tools, etwa um Fake News über soziale Kanäle zu verbreiten, werden bereits als Service in den Untergrundmärkten angeboten.

Wie bereits in der Übersicht zu Pawn Storm erwähnt, könnten andere Akteure ihre eigenen Kampagnen starten, um die Politik und allgemeine Meinung zu beeinflussen. Akteure aus Entwicklungsländern werden dazulernen und wahrscheinlich künftig schnell ähnliche Methoden anwenden. 2016 veröffentlichte Trend Micro einen Report zu C Major, einer Spionagegruppe, die sich vor allem auf das indische Militär konzentriert. Bei näherem Hinsehen stellten die Sicherheitsforscher fest, dass die Gruppe auch dedizierte Botnets betreibt, für kompromittierte iranische Universitäten, Ziele in Afghanistan und in Pakistan. Kürzlich bemerkten die Forscher auch ein Interesse von C Major an militärischen und diplomatischen Zielen im Westen. Es ist also nur noch eine Frage der Zeit, bis Akteure wie C Major sich dafür interessieren, die öffentliche Meinung im Ausland auch zu beeinflussen.

Fazit

Angesichts von Ereignissen wie die Olympischen Spiele und einige Wahlen 2018, kann mit hoher Wahrscheinlichkeit sagen, dass die Aktivitäten von Pawn Storm weiter gehen werden. Die Sicherheitsforscher von Trend Micro überwachen deren Aktivitäten und die ähnlicher Akteure.

Indicators of Compromise (IoCs) umfasst der Originalbeitrag.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*