Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene
Redaktion: Heinz Schmitz
Großangelegter weltweiter Spionageangriff
Die Experten von Trend Micro warnen vor einem Spionageangriff, der Ziele aus Wirtschaft, Politik und Medien im Visier hat. Darunter befinden sich Militärorganisationen, Botschaften und Rüstungskonzerne in den USA und bei deren Verbündeten, Oppositionspolitiker der russischen Regierung und Dissidenten, internationale Vereinigungen wie die „Organisation für Sicherheit und Zusammenarbeit in Europa“ (OSZE), internationale Medien sowie weltweit tätige Unternehmen. Die Cyberkriminellen hinter „Operation Pawn Storm“ (benannt nach einem Manöver aus dem Schach, dem „Bauernsturm“) nutzen hierzu verschiedene Angriffsszenarien: Erstens Spearphishing-E-Mails mit bösartigen Microsoft-Office-Dokumenten, die zu SEDNIT/Sofacy-Schadsoftware führen, zweitens ausgewählte Exploits, die in legitime Websites eingebettet werden und ebenfalls zu SEDNIT/Sofacy führen, und drittens Phishing-Mails, welche die Opfer zu gefälschten „Outlook Web Access“-Login-Seiten umleiten.
Die Recherchen der Bedrohungsforscher bei Trend Micro haben gezeigt, dass die Ziele sorgfältig ausgewählt wurden und die SEDNIT-Schadsoftware bewusst eingesetzt wurde: SEDNIT ist darauf ausgerichtet, die Verteidigung der angegriffenen Organisationen zu durchbrechen und sich dort dauerhaft einzurichten, um so viele Informationen wie möglich abzugreifen.
Die bei einem Pawn-Storm-Angriff verschickten Spearphishing-Mails gehen an ganz bestimmte, bewusst ausgewählte Ziele. Beispielsweise wurden solche E-Mails an drei Angestellte der Rechtsabteilung eines sehr großen, international tätigen Unternehmens mit Sitz in Deutschland verschickt. Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, erklärt: „Die E-Mail-Adressen dieser Empfänger sind nicht öffentlich im Internet abrufbar. Weil das Unternehmen in einen wichtigen Rechtsstreit verwickelt war, deutet der Angriff aus meiner Sicht ganz klar auf wirtschaftlich motivierte Spionage hin. Glücklicherweise klickte keiner der Empfänger auf den Link in der Spear-Phishing-E-Mail, und Trend Micro konnte das Unternehmen in einer sehr frühen Phase warnen, sodass kein Schaden entstand.“
Die Angreifer, die seit mindestens 2007 aktiv sind, kompromittierten erst im Juni 2014 Regierungs-Websites in Polen und im September die Website der polnischen Energiebörse (www.irgit.pl).
Weitere Informationen unter:
http://blog.trendmicro.de/pawn-storm-erstaunlich-simpler-angriff-ueber-outlook-web-access/