„Operation Woolen-Goldfish“: Spionageangriff auf Israel und Deutschland

Die Ziele des Angriffs sowie die Informationen, die Trend Micro zu "Operation Woolen-Goldfish" sammeln konnte, deuten darauf hin, dass der Iran als Auftraggeber dahinter steckt. [...]

Goldfische symbolisieren das Glück, das sich die Iraner anlässlich des Neujahrsfestes zum Frühlingsanfang gegenseitig wünschen. Für eine Gruppe Cyberkrimineller mit dem Namen „Rocket Kitten“ sind sie jedoch die Beute in einem gezielten Angriff auf Institutionen und Unternehmen in Israel und Deutschland, die sich mit Iran beschäftigen. Hinter diesem Angriff steht offenbar der Online-Kriminelle mit dem Akronym „Wool3n.H4t“, ein Mitglied von Rocket Kitten. Wie die Katze auf den Fisch lauert er auf Informationen, die er mit Hilfe eines selbst entwickelten Keyloggers abgreift. Die Ziele des Angriffs sowie die Informationen, die Trend Micro zu Wool3n.H4t und dessen „Operation Woolen-Goldfish“ sammeln konnte, deuten darauf hin, dass der Iran als Auftraggeber hinter der Attacke steht.

Zwar wird der Angriff nicht von staatlichen Cyberspionen, sondern von Cyberkriminellen ausgeführt. Dennoch steht zu vermuten, dass Wool3n.H4t – sein richtiger Name könnte Trend Micro zufolge Mehdi Mahdavi lauten – in offiziellem Auftrag handelt. Denn er und seine Komplizen versuchen ihre Ziele mit personalisierten E-Mails und auf die Interessen des jeweiligen Adressaten zugeschnittenen Inhalten – zum Teil auch in deutscher Sprache – in die Falle zu locken. Dazu missbrauchten sie unter anderem die Identität eines anerkannten israelischen Ingenieurs und einer bekannten Persönlichkeit aus dem israelischen Verteidigungssektor. Anders als in früheren Angriffen von Rocket Kitten, wie zum Beispiel der seit 2011 aktiven „GHOLE“-Kampagne, muss das Opfer bei Woolen-Goldfish nur auf einen eingebetteten Link klicken, um seinen Rechner zu infizieren. Schnappt die Falle zu, zeichnet ein Keylogger die Tastatureingaben des Opfers auf und sendet diese Informationen an einen Steuerungs- und Kontrollserver in Deutschland.

„Die Angriffsmethode ist nicht neu und die Spionagesoftware ist auch nicht von außergewöhnlicher Qualität. Das tut dem Erfolg der Attacke allerdings keinen Abbruch, schließlich wurden zahlreiche Ziele infiltriert“, erklärt IT-Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Security-Anbieter Trend Micro. „Selbst geschulte Anwender und Geheimnisträger dürften hin und wieder der Versuchung erliegen, eine E-Mail zu öffnen, die vermeintlich von einem legitimen Absender stammt. Voraussetzung ist nur, dass der Inhalt stimmt. Und dies scheint bei Woolen Goldfish der Fall zu sein. Die Vermutung liegt nahe, dass sowohl Wool3n.H4t als auch seine Auftraggeber aus dem Iran kommen.“

Weitere Informationen zu der Cyberspionagekampagne sind im deutschsprachigen Trend Micro-Blog erhältlich. Der Forschungsbericht zu „Operation Woolen-Goldfish“ ist ebenfalls über diesen Eintrag abrufbar. (pi)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*