Cyperspionage: Operation Pawn Storm betrifft zahlreiche NATO-Länder

21. April 2015, 12:40 Uhr · In diesem im Zuge von “Operation Pawn Storm” benutzten Word-Dokument verbarg sich der Exploit CVE-2012-0158 (Bild: Trend Micro).

												Die Angreifer, die im Herbst 2014 über Lücken in Flash Player und Windows in Computersysteme des Weißen Hauses eingedrungen sein sollen, haben auch zahlreiche Angriffe auf Ziele in Deutschland, Österreich, Polen und Ungarn durchgeführt. Laut Trend Micro sind in Europa Ministerien, Medien und Unternehmen sowie die “Organisation für Sicherheit und Zusammenarbeit in Europa” (OSZE) mit Sitz in Wien betroffen. Ihren Erfolg verdankten die Angreifer auch der Tatsache, dass sie “vorsichtiger und lautloser” agierten als früher.

Die Hintermänner des Spionageangriffs “Pawn Storm” (“Bauernsturm”) weiten ihre Angriffe seit Anfang des Jahres auf das Weiße Haus in Washington und NATO-Mitgliedsländer aus, darunter auch Deutschland. Zu den Zielen Dabei gehen die Angreifer immer lautloser vor und installieren die Spionagesoftware nur noch auf Rechnern, von denen sie überzeugt sind, dass sie für ihre Zwecke wertvoll sind – eine der wichtigsten Taktiken bei gezielten Angriffen, um möglichst lange unentdeckt zu bleiben. Der Name “Pawn Storm” (Bauernsturm) leitet sich von der Vielzahl der bei dem Angriff miteinander verbundenen Taktiken und Schadprogramme ab. Sie sind gleichsam die Bauern, die wie beim Schach den eigentlichen Angriffen vorausgeschickt werden.
In seinem Bericht (PDF) zur Pawn Storm (Bauernsturm) genannten Operation erklärt Trend Micro, dass die Hintermänner im ersten Quartal 2015 neue Befehls- und Kontrollserver implementiert sowie Websites mit Exploits erstellt haben, über die sich Sicherheitslücken auf den anvisierten Systemen ausnutzen lassen. Außerdem sei es ihnen gelungen, eine Spionage-App zu programmieren, mit der sich auch iPhones infizieren lassen.
Die sehr gezielt angesprochenen Opfer werden vornehmlich über legitim aussehende und ihren Interessen oder ihrer beruflichen Aufgabe entsprechende E-Mail-Nachrichten in die Falle gelockt. So erhielt etwa ein Angestellter des französischen Verteidigungsministeriums eine Nachricht mi einem als “International Military.rtf” bezeichneten Anhang, in dem sich der Exploit CVE-2010-3333 verbarg. Ein Angehöriger der Botschaft des Vatikans wurde einen Tag nach einem tatsächlich stattgefundenen Bombenanschlag mit vermeintlichen Informationen dazu angeschrieben. Das als “IDF_Spokesperson_Terror_Attack_011012.doc” bezeichnete Word-Dokument im Anhang brachte den Exploit CVE-2012-0158 mit.
In diesem im Zuge von “Operation Pawn Storm” benutzten Word-Dokument verbarg sich der Exploit CVE-2012-0158 (Bild: Trend Micro).
Der in diversen solcher Mails recht geschickt eingebettete Link löst beim Klick darauf den Download eines kleinen Programms aus, das zunächst lediglich Informationen über das infizierte System sammelt, darunter die Version des Betriebssystems, die Zeitzone, in der sich der Rechner befindet, sowie die installierten Browser-Add-ons. Anhand dieser Informationen entscheiden die Angreifer dann, ob es sich lohnt, das eigentliche SEDNIT genannte Spionageprogramm zu installieren. Dieses schreibt Tastatureingaben mit, stiehlt generell Informationen und sendet seine Beute an Server der Angreifer.
Dass die sich vorher intensiv mit ihren Zielen beschäftigt haben, zeigt auch eine der erfolgreicheren Angriffsstrategien: Dabei werden die Opfer auf gefälschte E-Mail-Server mit Anmeldeseiten für Microsoft Outlook Web Access (OWA) gelotst, die denen ihrer Organisationen täuschend ähnlich sehen. Wie sie dabei vorgingen, zeigt Trend Micro am Beispiel eines Angriffs auf Mitarbeiter des ungarischen Verteidigungsministeriums auf.
Zunächst erstellten die Angreifer eine Website, die der einer tatsächlich stattfindenden Rüstungsmesse täuschend ähnlich sah – sich jedoch durch eine minimal andere URL davon unterschied. Ausgewählte Mitarbeiter, die möglicherweise mit der echten Veranstaltung in Kontakt standen, erhielten daraufhin eine Mail mit dem Link auf die Site. Klickten sie in der OWA-Vorschau den Link an, öffnete sich in einem neuen Tab die echte Veranstaltungs-Website.
Gleichzeitig wurde die OWA-Session auf eine gefälschte, aber sehr gut imitierte Log-in-Seite umgeleitet. Die Nutzer hatten dadurch den Eindruck, die OWA-Session sei aus irgendeinem Grund unterbrochen worden. Die Aufforderung, ihre Anmeldeten erneut einzugeben, erweckte daher keinen besonderen Verdacht.
“Der Erfolg von Pawn Storm ist auch darauf zurückzuführen, dass noch immer zu sorglos mit dem Thema Cybersicherheit umgegangen wird – manchmal sogar bei militärischen Einrichtungen. So könnte zum Beispiel der verpflichtende Zugriff auf Webmaildienste via VPN das Angriffsrisiko beträchtlich senken”, erklärt Udo Schneider von Trend Micro. “Zudem bedarf es neben intensivierten Schulungsmaßnahmen, um die Anwender für das Thema Spearphishing zu sensibilisieren, neuer Sicherheitsmechanismen, mit denen sich Spionageaufklärung betreiben lässt. Die Angreifer brauchen Zeit, um an ihr Ziel zu gelangen – und irgendwann sind sie an ihrem ungewöhnlichen Verhalten zu erkennen. Das ist die große Chance, gezielte Angriffe abzuwehren.”
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

					                Lesen Sie auch : 

                                    Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

                                    Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

                                    Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus