Pawn Storm zielt auf das MH17-Untersuchungsteam

Originalbeitrag von Feike Hacquebord, Senior Threat Researcher


Pawn Storms Liste der Angriffe auf Regierungsbehörden und private Unternehmen ist lang. Nun haben die Sicherheitsforscher von Trend Micro herausgefunden, dass die Cyberkriminellen das internationale Untersuchungsteam des MH17-Flugzeugabsturzes von verschiedenen Seiten aus angegriffen haben. Das niederländische Safety Board (bekannt als Onderzoeksraad) wurde zum Ziel einer Cyberspionagegruppe bevor und nachdem das Safety Board am 13. Oktober 2015 ihren detaillierten Report zum MH17-Vorfall veröffentlicht hatte.

Die Sicherheitsforscher gehen davon aus, dass es sich um einen koordinierten Angriff von mehreren Seiten aus handelt mit dem Ziel, einen nicht autorisierten Zugang zu vertraulichem Material zu den Ermittlungen bekommen, die von den holländischen, malaysischen, australischen, belgischen und ukrainischen Behörden geführt wurden.


Bild 1. Offizielle Site des holländischen Safety Boards und Pressemitteilungen zu den MH17-Ermittlungen

Die Sicherheitsforscher entdeckten, dass ein am 28. September aufgesetzter gefälschter Server einen SFTP-Server des holländischen Safety Boards imitierte. Dann wurde am 14. Oktober ein gefälschter VPN-Server von derselben Organisation aufgesetzt. Diese beiden wurden wahrscheinlich für einen Phishing-Angriff auf Mitarbeiter des Safety Boards genutzt,um deren Zugangsinformationen zu erhalten und sich dann einen nicht autorisierten Zugriff auf die beiden Server zu verschaffen.

Es war das erste Mal, dass es direkte Beweise für den Versuch einer APT-Gruppe gab, sich nicht autorisierten Zugang zu einem VPN-Server zu verschaffen. Der VPN-Server des Safety Boards verwendet zwar Tokens für die Authentifizierung, doch können diese auf einfache Weise ge-phisht werden. Außerdem schützen Tokens, sobald das Ziel dem Phishing-Angriff zum Opfer gefallen ist, allein nicht gegen einen einmaligen nicht autorisierten Zugang durch Dritte.

Neben dem Safety Board ist auch ein wichtiger Partner bei den Ermittlungen zum Ziel der Kriminellen geworden. Am 29. September wurde ein gefälschter Outlook Web Access (OWA) Server aufgesetzt. Doch konnten Trend Micros Forscher den Partner frühzeitig warnen, sodass der Angriff abewendet werden konnte.

Pawn Storm und Syrien

Pawn Storm (deutsch: „Operation Bauernsturm“) hat auch die Angriffe auf syrische Oppositionsgruppen und arabische Länder, die gegen die jüngsten Interventionen Russlands in Syrien protestiert hatten, intensiviert.

Im letzten Septermber wurden mehrere syrische Oppositionelle im Exil zum Ziel von fortgeschrittenen Zugangsdaten-Angriffen. Etwas später wurden mehrere gefälschte OWA-Server aufgesetzt, die Militär, Verteidungsministerien und Außenministerien in mehreren arabischen Ländern ins Visier nahmen.

Bild 2. Gefälschte OWA-Server des Militärs in einem anvisierten arabischen Land

Mehr Informationen zu Pawn Storm-Kampagnen finden Interessierte hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.