• Pressemitteilung BoxID 775681

Potentiell staatlich geförderte Cyberspionage unter der Lupe

Palo Alto Networks mit neuen Erkenntnissen zu "Scarlet Mimic"

(PresseBox) (München, ) In den vergangenen Monaten hat Unit 42, die Forschungsabteilung von Palo Alto Networks, eine Reihe von Cyberangriffen untersucht und eine Gruppe mit dem Codenamen „Scarlet Mimic“ identifiziert. Vieles deutet darauf hin, dass es die primäre Aufgabe Angreifer ist, Informationen über Aktivisten, die sich für Minderheitenrechte einsetzen, zu sammeln. Es gibt derzeit aber keine unwiderlegbaren Beweise für eine direkte Verbindung dieser Angriffe mit einer Regierung. Die Informationen, die abgegriffen werden, wären jedoch nur für einen Staat nützlich. Palo Alto Networks ist daher überzeugt, dass Scarlet Mimic im Auftrag einer staatlichen Organisation agiert.

Unit 42 hat Scarlet Mimic untersucht, um Gegenmaßnahmen für die Prävention und Erkennung bereitzustellen. Das Team kann noch nicht ermitteln, welche Angriffe erfolgreich waren. Die Tatsache aber, dass Scarlet Mimic mit immer fortschrittlicherer Malware vorging, legt nahe, dass die Angreifer immerhin bei einem bestimmten Prozentsatz ihrer Operationen bereits erfolgreich gewesen sind. Die Analyse ergab auch, dass sich die Spionagebemühungen von PCs auf mobile Geräte ausgedehnt haben, was auf eine Evolution in der Taktik hindeutet.

Verschiedenste Einzelpersonen und Gruppen können zum Ziel von Cyberspionage-Kampagnen werden. Die prominentesten Opfer sind in der Regel staatliche Organisationen oder High-Tech-Unternehmen. Entscheidend ist aber, dass die Spione oft beauftragt werden, Informationen aus vielen Quellen zu sammeln.

Die Angriffe, die Unit 42 Scarlet Mimic zuschreibt, zielten in erster Linie auf uigurische und tibetische Aktivisten sowie Personen, die sich für sie einsetzen. Beide Minderheiten haben angespannte Beziehungen mit der Regierung der Volksrepublik China. Allerdings gibt es keine handfesten Beweise für eine Verbindung der Angriffe mit der Regierung. Scarlet-Mimic-Angriffe erfolgten auch gegen staatliche Organisationen in Russland und Indien, die für die Verfolgung von Aktivisten und terroristische Aktivitäten verantwortlich sind. Obwohl die genauen Ziele jedes Angriffs nicht bekannt sind, zeigen viele davon ein ähnliches Muster.

Die Angriffe von Scarlet Mimic zielen auf technischer Seite auf eine Windows-Backdoor namens „FakeM“, die erstmals 2013 in Erscheinung trat. FakeM ahmte dabei innerhalb ihrer Command&Control-Kommunikation den Datenverkehr von Windows Messenger und Yahoo! Messenger nach, um nicht entdeckt zu werden. Unit 42 hat nun zwei Folgevarianten der FakeM-Familie identifiziert, die erhebliche Veränderungen aufweisen gegenüber der Ausführung von 2013. Scarlet Mimic verwendet neun verschiedene „Loader“-Malware-Familien, um nicht entdeckt zu werden, wenn die Infektion eines Systems erkannt wird. Zusätzlich zu den FakeM-Varianten hat Scarlet Mimic Trojaner eingesetzt, die auf Mac-OS-X- und Android-Betriebssysteme abzielten. Unit 42 hat Verbindungen dieser Angriffe zu Scarlet Mimic durch Analyse der Command&Control-Infrastruktur nachgewiesen.

Um an die Ziele für den Zugriff auf die Daten zu kommen, setzten die Akteure von Scarlet Mimic sowohl auf Speer-Phishing- als auch Watering-Hole-Angriffe, mindestens bereits seit 2009. Wie viele andere Angreifer auch, die Speer-Phishing verwenden, um die Opfer zu infizieren, machte Scarlet Mimic starken Gebrauch von „Lockvogel“-Dateien. Dies sind legitim erscheinende Dokumente, die sich auf den Inhalt der Spear-Phishing-Mail beziehen. Nachdem das System infiziert ist, zeigt die Malware das Köderdokument, damit der Benutzer glaubt, dass keine schädliche Aktivität erfolgt ist. Die jüngsten Angriffe wurden im Jahr 2015 durchgeführt und deuten darauf hin, dass die Gruppe ein starkes Interesse sowohl an muslimischen Aktivisten als auch Kritikern der russischen Regierung und des Präsidenten Wladimir Putin hat.

Die primäre Datenquelle, die in dieser Analyse verwendet wurde, ist WildFire von Palo Alto Networks. WildFire  analysiert Malwareangriffe, die auf der ganzen Welt verwendet werden. Das System analysiert auch Malware-Samples, die im Rahmen der Cyber Threat Alliance, einer Partnerschaft mit anderen Sicherheitsanbietern, gesammelt werden. Um Angriffe miteinander zu verbinden, basierend auf dem Malwareverhalten und der Steuerungsinfrastruktur, hat Palo Alto Networks auf seinen AutoFocus-Dienst zurückgegriffen. AutoFocus-Benutzer können alle Dateien und die Malware in Zusammenhang mit Scarlet Mimic abrufen.

Weitere Details zu Scarlet Mimic unter http://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/

 

Über Palo Alto Networks

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.



Diese Pressemitteilungen könnten Sie auch interessieren

Sicherheitslücke: Nur vier Prozent der Deutschen nutzen eine Alarmanlage

, Sicherheit, TESTROOM GmbH

Im vergangenen Jahr schlugen Einbrecher 167.136 Mal zu – eine Steigerung um fast zehn Prozent zu 2014. Und in dem Jahr hatte die Polizei bereits...

Vier Viren-Scanner jagen Windows-Schädlinge

, Sicherheit, Heise Medien Gruppe GmbH & Co KG

Das Computermagazin c't legt seiner aktuellen Ausgabe 12/16 die Neuauflage seines ultimativen Viren-Such- und Reinigungstools Desinfec't 2016...

„Trusted Cloud“ gewinnt an Fahrt

, Sicherheit, SIBB e.V.

Mit dem Ziel, den deutschen Mittelstand stärker zu digitalisieren und Vertrauen in Cloud-Services zu entwickeln, fiel im März 2016 im Rahmen...

Disclaimer