Hackergruppe Rocket Kitten ist noch immer aktiv. Der Fall einer iranischer Wissenschaftlerin belegt den politischen Kontext gezielter Spionage. [...]
Im März hatte Trend Micro einen Spionageangriff gegen Behörden, akademische Einrichtungen und Unternehmen aufgedeckt, die sich auf unterschiedliche Arten mit Iran beschäftigen. Seitdem haben die Bedrohungsforscher des japanischen IT-Sicherheitsanbieters, zusammen mit ihren Kollegen bei ClearSky, die hinter dem Angriff steckende Hackergruppe Rocket Kitten weiter beobachtet und können nun ein klareres Bild der Taktiken und Ziele zeichnen: Die nach wie vor aktiven Kriminellen konzentrieren sich auf Einzelpersonen, die sich in Diplomatie, internationalen Angelegenheiten, Politikforschung, Journalismus und Menschenrechten engagieren. Sie zeigen dabei ein hohes Maß an Hartnäckigkeit, Aggressivität und Kreativität, wie der Fall einer iranischen Wissenschaftlerin belegt, die Mitglieder der dortigen Widerstandsbewegung öffentlich unterstützte und so ins Visier der Angreifer kam. Was Rocket Kitten deutlich von anderen Gruppierungen unterscheidet, sind zwei Faktoren: Spionage und politischer Kontext. Details zu den Forschungsergebnissen finden sich hier.
Die größte Gefahr geht von cyberkriminellen Gruppen aus, die den Willen und die Möglichkeiten besitzen, ein Unternehmen, eine Behörde oder einzelne Mitarbeiter so lange anzugreifen, bis sie ihr Ziel erreicht haben. Zielgerichtete Angriffe gehören dabei längst zum Standardrepertoire. Deren Zweck besteht typischerweise darin, sich unentdeckt Zugang zu sensiblen Dokumenten zu verschaffen, um vertrauliche Informationen oder geistiges Eigentum zu stehlen und dann weiterzuverkaufen. Nicht jedoch darin, Schäden oder Störungen zu verursachen.
Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, erläutert: „Hier besteht eine direkte Verbindung zur traditionellen Spionage. Man kann sagen, dass sich zielgerichtete Angriffe aus dem Handwerk klassischer Spionage weiterentwickelt haben. Neben der rechtzeitigen Aufdeckung liegt die Schwierigkeit darin, die Identitäten der Angreifer und ihrer Geldgeber, ihre Motivation und den (geographischen) Ausgangspunkt der Angriffe zu ermitteln.“
Staatlich geförderte Spionage
Entsprechende Vorfälle werden selten publik. Es ist daher schwierig, genaue Aussagen über gestohlene Daten und deren anschließende Verwendung zu treffen. Generell werden Fälle von Cyberspionage jedoch oft Nationalstaaten zugerechnet: Sie besitzen die größte Motivation und können am ehesten Finanzierung und konsequente Durchführung gewährleisten, ohne entdeckt zu werden.
Im vorliegenden Fall handelt es sich um einen eindeutigen Fall von politisch inspirierter oder motivierter, staatlicher Spionage. Verschiedene IT-Sicherheitsforscher, darunter Trend Micro und ClearSky, beobachten die Hackergruppe seit Mitte 2014; andere Quellen lassen vermuten, dass sie bereits seit 2011 aktiv ist und 2014 ihre Aktivitäten verstärkt hat. Anhand ihrer Untersuchungen gehen die Forscher davon aus, dass hinter Rocket Kitten Cyberkriminelle stehen, die sich aus bislang noch ungeklärten Gründen auf ein neues Territorium begeben haben.
Legale Werkzeuge für illegale Zwecke missbraucht
Um herauszufinden, wie sie ihre Opfer am besten angreifen können, nutzten die Angreifer Ghole. Dabei handelt es sich um die bösartige Variante des Penetrationstest-Tools Core Impact Pro, das aufgrund seiner Leistungsfähigkeit in vielen Unternehmen genutzt wird, aber auch großes Missbrauchspotenzial enthält. Weiteres interessantes Detail: Es gibt einen Zusammenhang mit dem Hacking-Team-Hack, viele der dort entdeckten Werkzeuge und Zero-Day-Sicherheitslücken wurden von Rocket Kitten genutzt.
Udo Schneider führt aus: „Die Kriminellen nutzen keine technisch ausgefeilten Fähigkeiten, die verwendeten Infektionsvektoren sind sehr einfach und die Malware ist meist zugekauft. Was niemanden dazu verleiten sollte, Rocket Kitten für weniger gefährlich zu halten – diese ‚Mängel‘ machen sie durch ein hohes Maß an Hartnäckigkeit, Aggressivität und Wendigkeit mehr als wett. Die von uns untersuchten Fälle offenbaren neben einer sorgfältigen Planung auch große Kreativität.“
Opferprofile geben Einblicke in die Motivation
Die Kriminellen wussten offenbar genau, wen sie angreifen wollten, und bedienten sich dazu einer hochprofessionellen Aufklärung, so dass „Kollateralschäden“ nur selten zu verzeichnen waren. Oft versuchten sie es über personalisierte E-Mails, mit auf die jeweiligen Interessen ihrer Zielpersonen zugeschnittenen Inhalten. In manchen Fällen griffen sie sogar zum Telefonhörer, um sich das Vertrauen ihrer Opfer zu erschleichen. Dies war der Fall bei einem Bedrohungsforscher, der zuvor nicht auf Kontaktversuche via gefälschte Facebook-Profile hereingefallen war. Das neue hieran ist die Usurpation der Identität eines Bedrohungsforschers.
Dieser hohe Grad an Interaktion ist unüblich, offenbar ist Rocket Kitten kein Aufwand zu groß. Am auffälligsten ist die hohe Anzahl an Versuchen, mit denen sie dieselben Ziele so lange wie nötig angreifen – auch wenn es dazu täglich neuer Versuche und Ablenkungsmanöver bedarf.
Der Fall Gindin
Das zeigt das Beispiel von Dr. Thamar E. Gindin, einer auf iranische Philologie und vorislamische Iranistik spezialisierten Wissenschaftlerin, die am Ezri Center for Iran and Persian Gulf Research der Universität Haifa in Israel lehrt. Sie war offenbar ins Visier der Kriminellen geraten, weil sie öffentlich aktive Mitglieder der Widerstandsbewegung gegen das iranische Regime unterstützte.
Seit Juni, als sie die Teams von ClearSky und Trend Micro bei der Erstellung eines Forschungspapiers über die Hackergruppe unterstütze, ist klar, dass die Wissenschaftlerin zum Ziel von Rocket Kitten geworden war: Sie erhielt eine Reihe von Spearphishing-Mails, Nachrichten von unbekannten Absendern füllten plötzlich ihren Facebook-Posteingang, Brute-Force-Angriffe sollten dazu dienen, ihre Cloud-Konten zu übernehmen. Zweimal versuchten Angreifer, telefonisch Kontakt mit ihr aufzunehmen, um weitere Einzelheiten zu erfahren, die sie für Phishing-Mails nutzen wollten. Trotz ihrer Entdeckung blieben die Angreifer hartnäckig, Gindin erhielt auch nach der Veröffentlichung der Forschungsergebnisse noch Google-Benachrichtigungen über angeforderte Passwort-Resets, die sie nie gestellt hatte.
Be the first to comment