Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 755711

TREND MICRO Deutschland GmbH Parkring 29 85748 Garching, Deutschland http://www.trendmicro.de
Ansprechpartner:in Herr Marcus Ehrenwirth +49 821 444800
Logo der Firma TREND MICRO Deutschland GmbH
TREND MICRO Deutschland GmbH

Die Katze lässt das Spionieren nicht

Hackergruppe "Rocket Kitten" noch immer aktiv - Fall iranischer Wissenschaftlerin belegt politischen Kontext gezielter Spionage

(PresseBox) (Hallbergmoos, )
Im März hatte Trend Micro einen Spionageangriff gegen Behörden, akademische Einrichtungen und Unternehmen aufgedeckt, die sich auf unterschiedliche Arten mit Iran beschäftigen. Seitdem haben die Bedrohungsforscher des japanischen IT-Sicherheitsanbieters, zusammen mit ihren Kollegen bei ClearSky, die hinter dem Angriff steckende Hackergruppe „Rocket Kitten“ weiter beobachtet und können nun ein klareres Bild der Taktiken und Ziele zeichnen: Die nach wie vor aktiven Kriminellen konzentrieren sich auf Einzelpersonen, die sich in Diplomatie, internationalen Angelegenheiten, Politikforschung, Journalismus und Menschenrechten engagieren. Sie zeigen dabei ein hohes Maß an Hartnäckigkeit, Aggressivität und Kreativität, wie der Fall einer iranischen Wissenschaftlerin belegt, die Mitglieder der dortigen Widerstandsbewegung öffentlich unterstützte und so ins Visier der Angreifer kam. Was „Rocket Kitten“ deutlich von anderen Gruppierungen unterscheidet, sind zwei Faktoren: Spionage und politischer Kontext. Details zu den Forschungsergebnissen finden sich hier.

Die größte Gefahr geht von cyberkriminellen Gruppen aus, die den Willen und die Möglichkeiten besitzen, ein Unternehmen, eine Behörde oder einzelne Mitarbeiter so lange anzugreifen, bis sie ihr Ziel erreicht haben. Zielgerichtete Angriffe gehören dabei längst zum Standardrepertoire. Deren Zweck besteht typischerweise darin, sich unentdeckt Zugang zu sensiblen Dokumenten zu verschaffen, um vertrauliche Informationen oder geistiges Eigentum zu stehlen und dann weiterzuverkaufen. Nicht jedoch darin, Schäden oder Störungen zu verursachen.

Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, erläutert: „Hier besteht eine direkte Verbindung zur traditionellen Spionage. Man kann sagen, dass sich zielgerichtete Angriffe aus dem Handwerk klassischer Spionage weiterentwickelt haben. Neben der rechtzeitigen Aufdeckung liegt die Schwierigkeit darin, die Identitäten der Angreifer und ihrer Geldgeber, ihre Motivation und den (geographischen) Ausgangspunkt der Angriffe zu ermitteln.“

Staatlich geförderte Spionage

Entsprechende Vorfälle werden selten publik. Es ist daher schwierig, genaue Aussagen über gestohlene Daten und deren anschließende Verwendung zu treffen. Generell werden Fälle von Cyberspionage jedoch oft Nationalstaaten zugerechnet: Sie besitzen die größte Motivation und können am ehesten Finanzierung und konsequente Durchführung gewährleisten, ohne entdeckt zu werden.

Im vorliegenden Fall handelt es sich um einen eindeutigen Fall von politisch inspirierter oder motivierter, staatlicher Spionage. Verschiedene IT-Sicherheitsforscher, darunter Trend Micro und ClearSky, beobachten die Hackergruppe seit Mitte 2014; andere Quellen lassen vermuten, dass sie bereits seit 2011 aktiv ist und 2014 ihre Aktivitäten verstärkt hat. Anhand ihrer Untersuchungen gehen die Forscher davon aus, dass hinter „Rocket Kitten“ Cyberkriminelle stehen, die sich aus bislang noch ungeklärten Gründen auf ein neues Territorium begeben haben.

Legale Werkzeuge für illegale Zwecke missbraucht

Um herauszufinden, wie sie ihre Opfer am besten angreifen können, nutzten die Angreifer „Ghole“. Dabei handelt es sich um die bösartige Variante des Penetrationstest-Tools „Core Impact Pro“, das aufgrund seiner Leistungsfähigkeit in vielen Unternehmen genutzt wird, aber auch großes Missbrauchspotenzial enthält. Weiteres interessantes Detail: Es gibt einen Zusammenhang mit dem Hacking-Team-Hack, viele der dort entdeckten Werkzeuge und Zero-Day-Sicherheitslücken wurden von „Rocket Kitten“ genutzt.

Udo Schneider führt aus: „Die Kriminellen nutzen keine technisch ausgefeilten Fähigkeiten, die verwendeten Infektionsvektoren sind sehr einfach und die Malware ist meist zugekauft. Was niemanden dazu verleiten sollte, ‚Rocket Kitten‘ für weniger gefährlich zu halten – diese ‚Mängel‘ machen sie durch ein hohes Maß an Hartnäckigkeit, Aggressivität und Wendigkeit mehr als wett. Die von uns untersuchten Fälle offenbaren neben einer sorgfältigen Planung auch große Kreativität.“

Opferprofile geben Einblicke in die Motivation

Die Kriminellen wussten offenbar genau, wen sie angreifen wollten, und bedienten sich dazu einer hochprofessionellen Aufklärung, so dass „Kollateralschäden“ nur selten zu verzeichnen waren. Oft versuchten sie es über personalisierte E-Mails, mit auf die jeweiligen Interessen ihrer Zielpersonen zugeschnittenen Inhalten. In manchen Fällen griffen sie sogar zum Telefonhörer, um sich das Vertrauen ihrer Opfer zu erschleichen. Dies war der Fall bei einem Bedrohungsforscher, der zuvor nicht auf Kontaktversuche via gefälschte Facebook-Profile hereingefallen war. Das neue hieran ist die Usurpation der Identität eines Bedrohungsforschers.

Dieser hohe Grad an Interaktion ist unüblich, offenbar ist „Rocket Kitten“ kein Aufwand zu groß. Am auffälligsten ist die hohe Anzahl an Versuchen, mit denen sie dieselben Ziele so lange wie nötig angreifen – auch wenn es dazu täglich neuer Versuche und Ablenkungsmanöver bedarf.

Der Fall Gindin

Das zeigt das Beispiel von Dr. Thamar E. Gindin, einer auf iranische Philologie und vorislamische Iranistik spezialisierten Wissenschaftlerin, die am „Ezri Center for Iran and Persian Gulf Research” der Universität Haifa in Israel lehrt. Sie war offenbar ins Visier der Kriminellen geraten, weil sie öffentlich aktive Mitglieder der Widerstandsbewegung gegen das iranische Regime unterstützte.

Seit Juni, als sie die Teams von ClearSky und Trend Micro bei der Erstellung eines Forschungspapiers über die Hackergruppe unterstütze, ist klar, dass die Wissenschaftlerin zum Ziel von „Rocket Kitten“ geworden war: Sie erhielt eine Reihe von Spearphishing-Mails, Nachrichten von unbekannten Absendern füllten plötzlich ihren Facebook-Posteingang, Brute-Force-Angriffe sollten dazu dienen, ihre Cloud-Konten zu übernehmen. Zweimal versuchten Angreifer, telefonisch Kontakt mit ihr aufzunehmen, um weitere Einzelheiten zu erfahren, die sie für Phishing-Mails nutzen wollten. Trotz ihrer Entdeckung blieben die Angreifer hartnäckig, Gindin erhielt auch nach der Veröffentlichung der Forschungsergebnisse noch Google-Benachrichtigungen über angeforderte Passwort-Resets, die sie nie gestellt hatte.

Weiterführende Informationen

Weitere Informationen sind im deutschsprachigen Trend Micro-Blog zu finden. Der Forschungsbericht „The Spy Kittens Are Back: Rocket Kitten 2“ ist ebenfalls über diesen Eintrag abrufbar.

Website Promotion

Website Promotion

TREND MICRO Deutschland GmbH

Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.

Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.