PresseKat - Die Katze lässt das Spionieren nicht

Die Katze lässt das Spionieren nicht

ID: 1261141

Hackergruppe "Rocket Kitten" noch immer aktiv - Fall iranischer Wissenschaftlerin belegt politischen Kontext gezielter Spionage

(PresseBox) - Im März hatte Trend Micro einen Spionageangriff gegen Behörden, akademische Einrichtungen und Unternehmen aufgedeckt, die sich auf unterschiedliche Arten mit Iran beschäftigen. Seitdem haben die Bedrohungsforscher des japanischen IT-Sicherheitsanbieters, zusammen mit ihren Kollegen bei ClearSky, die hinter dem Angriff steckende Hackergruppe ?Rocket Kitten? weiter beobachtet und können nun ein klareres Bild der Taktiken und Ziele zeichnen: Die nach wie vor aktiven Kriminellen konzentrieren sich auf Einzelpersonen, die sich in Diplomatie, internationalen Angelegenheiten, Politikforschung, Journalismus und Menschenrechten engagieren. Sie zeigen dabei ein hohes Maß an Hartnäckigkeit, Aggressivität und Kreativität, wie der Fall einer iranischen Wissenschaftlerin belegt, die Mitglieder der dortigen Widerstandsbewegung öffentlich unterstützte und so ins Visier der Angreifer kam. Was ?Rocket Kitten? deutlich von anderen Gruppierungen unterscheidet, sind zwei Faktoren: Spionage und politischer Kontext. Details zu den Forschungsergebnissen finden sich hier.
Die größte Gefahr geht von cyberkriminellen Gruppen aus, die den Willen und die Möglichkeiten besitzen, ein Unternehmen, eine Behörde oder einzelne Mitarbeiter so lange anzugreifen, bis sie ihr Ziel erreicht haben. Zielgerichtete Angriffe gehören dabei längst zum Standardrepertoire. Deren Zweck besteht typischerweise darin, sich unentdeckt Zugang zu sensiblen Dokumenten zu verschaffen, um vertrauliche Informationen oder geistiges Eigentum zu stehlen und dann weiterzuverkaufen. Nicht jedoch darin, Schäden oder Störungen zu verursachen.
Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, erläutert: ?Hier besteht eine direkte Verbindung zur traditionellen Spionage. Man kann sagen, dass sich zielgerichtete Angriffe aus dem Handwerk klassischer Spionage weiterentwickelt haben. Neben der rechtzeitigen Aufdeckung liegt die Schwierigkeit darin, die Identitäten der Angreifer und ihrer Geldgeber, ihre Motivation und den (geographischen) Ausgangspunkt der Angriffe zu ermitteln.?




Staatlich geförderte Spionage
Entsprechende Vorfälle werden selten publik. Es ist daher schwierig, genaue Aussagen über gestohlene Daten und deren anschließende Verwendung zu treffen. Generell werden Fälle von Cyberspionage jedoch oft Nationalstaaten zugerechnet: Sie besitzen die größte Motivation und können am ehesten Finanzierung und konsequente Durchführung gewährleisten, ohne entdeckt zu werden.
Im vorliegenden Fall handelt es sich um einen eindeutigen Fall von politisch inspirierter oder motivierter, staatlicher Spionage. Verschiedene IT-Sicherheitsforscher, darunter Trend Micro und ClearSky, beobachten die Hackergruppe seit Mitte 2014; andere Quellen lassen vermuten, dass sie bereits seit 2011 aktiv ist und 2014 ihre Aktivitäten verstärkt hat. Anhand ihrer Untersuchungen gehen die Forscher davon aus, dass hinter ?Rocket Kitten? Cyberkriminelle stehen, die sich aus bislang noch ungeklärten Gründen auf ein neues Territorium begeben haben.
Legale Werkzeuge für illegale Zwecke missbraucht
Um herauszufinden, wie sie ihre Opfer am besten angreifen können, nutzten die Angreifer ?Ghole?. Dabei handelt es sich um die bösartige Variante des Penetrationstest-Tools ?Core Impact Pro?, das aufgrund seiner Leistungsfähigkeit in vielen Unternehmen genutzt wird, aber auch großes Missbrauchspotenzial enthält. Weiteres interessantes Detail: Es gibt einen Zusammenhang mit dem Hacking-Team-Hack, viele der dort entdeckten Werkzeuge und Zero-Day-Sicherheitslücken wurden von ?Rocket Kitten? genutzt.
Udo Schneider führt aus: ?Die Kriminellen nutzen keine technisch ausgefeilten Fähigkeiten, die verwendeten Infektionsvektoren sind sehr einfach und die Malware ist meist zugekauft. Was niemanden dazu verleiten sollte, ?Rocket Kitten? für weniger gefährlich zu halten ? diese ?Mängel? machen sie durch ein hohes Maß an Hartnäckigkeit, Aggressivität und Wendigkeit mehr als wett. Die von uns untersuchten Fälle offenbaren neben einer sorgfältigen Planung auch große Kreativität.?
Opferprofile geben Einblicke in die Motivation
Die Kriminellen wussten offenbar genau, wen sie angreifen wollten, und bedienten sich dazu einer hochprofessionellen Aufklärung, so dass ?Kollateralschäden? nur selten zu verzeichnen waren. Oft versuchten sie es über personalisierte E-Mails, mit auf die jeweiligen Interessen ihrer Zielpersonen zugeschnittenen Inhalten. In manchen Fällen griffen sie sogar zum Telefonhörer, um sich das Vertrauen ihrer Opfer zu erschleichen. Dies war der Fall bei einem Bedrohungsforscher, der zuvor nicht auf Kontaktversuche via gefälschte Facebook-Profile hereingefallen war. Das neue hieran ist die Usurpation der Identität eines Bedrohungsforschers.
Dieser hohe Grad an Interaktion ist unüblich, offenbar ist ?Rocket Kitten? kein Aufwand zu groß. Am auffälligsten ist die hohe Anzahl an Versuchen, mit denen sie dieselben Ziele so lange wie nötig angreifen ? auch wenn es dazu täglich neuer Versuche und Ablenkungsmanöver bedarf.
Der Fall Gindin
Das zeigt das Beispiel von Dr. Thamar E. Gindin, einer auf iranische Philologie und vorislamische Iranistik spezialisierten Wissenschaftlerin, die am ?Ezri Center for Iran and Persian Gulf Research? der Universität Haifa in Israel lehrt. Sie war offenbar ins Visier der Kriminellen geraten, weil sie öffentlich aktive Mitglieder der Widerstandsbewegung gegen das iranische Regime unterstützte.
Seit Juni, als sie die Teams von ClearSky und Trend Micro bei der Erstellung eines Forschungspapiers über die Hackergruppe unterstütze, ist klar, dass die Wissenschaftlerin zum Ziel von ?Rocket Kitten? geworden war: Sie erhielt eine Reihe von Spearphishing-Mails, Nachrichten von unbekannten Absendern füllten plötzlich ihren Facebook-Posteingang, Brute-Force-Angriffe sollten dazu dienen, ihre Cloud-Konten zu übernehmen. Zweimal versuchten Angreifer, telefonisch Kontakt mit ihr aufzunehmen, um weitere Einzelheiten zu erfahren, die sie für Phishing-Mails nutzen wollten. Trotz ihrer Entdeckung blieben die Angreifer hartnäckig, Gindin erhielt auch nach der Veröffentlichung der Forschungsergebnisse noch Google-Benachrichtigungen über angeforderte Passwort-Resets, die sie nie gestellt hatte.
Weiterführende Informationen
Weitere Informationen sind im deutschsprachigen Trend Micro-Blog zu finden. Der Forschungsbericht ?The Spy Kittens Are Back: Rocket Kitten 2? ist ebenfalls über diesen Eintrag abrufbar.

Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.

Unternehmensinformation / Kurzprofil:

Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.



drucken  als PDF  an Freund senden  Logitech CREATE: Erste Tastatur für iPad® Pro Toshiba P70-B-Serie: Eleganz und Leistung im 17 Zoll-Format
Bereitgestellt von Benutzer: PresseBox
Datum: 11.09.2015 - 12:02 Uhr
Sprache: Deutsch
News-ID 1261141
Anzahl Zeichen: 8708

Kontakt-Informationen:
Stadt:

Hallbergmoos



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 0 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Die Katze lässt das Spionieren nicht"
steht unter der journalistisch-redaktionellen Verantwortung von

TREND MICRO Deutschland GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).


Alle Meldungen von TREND MICRO Deutschland GmbH