Ein neuer Report verdeutlicht die Vorgehensweise der Hacker-Gruppe Pawn Storm und analysiert ihre Ziele. Trend Micro beschreibt darin aktuelle Cyberangriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, die der SPD nahe steht, sowie auf den französischen Präsidentschaftskandidaten Emmanuel Macron. Nachdem die Gruppe im vergangenen Jahr bereits die Demokratische Partei in den Vereinigten Staaten sowie die CDU angegriffen hatte, soll nun scheinbar versucht werden, die Wahlen in Frankreich und Deutschland zu beeinflussen. Trend Micro hatte die Aktivitäten von Pawn Storm bereits in einem Report von 2014 bis ins Jahr 2004 zurückverfolgt.
Pawn Storm, auch bekannt als Fancy Bear, APT28, Sofacy, und STRONTIUM8, ist eine Hacker-Gruppe, die in den letzten Jahren sehr aggressiv und ambitioniert agiert hat. Die Gruppe setzt hoch entwickelte Social-Engineering-Köder, Zero-Days, ein privates Exploit Kit und ein effektives Malware-Set sowie False-Flag-Operationen und Kampagnen ein, um die öffentliche Meinung zu politischen Themen zu beeinflussen.
Nachdem die Gruppe im Jahr 2016 bereits die Demokratische Partei der USA und die CDU angegriffen hatte, wurde jetzt die Politik erneut ins Visier genommen. So berichtet Trend Micro, dass die Gruppe im März und April 2017 gezielte Phishing-Attacken auf die CDU-nahe Konrad-Adenauer-Stiftung sowie die SPD-nahe Friedrich-Ebert-Stiftung durchgeführt hat. Mit den gleichen Methoden wurde auch das Wahlkampf-Team des französischen Präsidentschaftskandidaten Emmanuel Macron angegriffen.
Bei Betrachtung der Pawn-Storm-Aktivitäten der letzten zwei Jahre wird deutlich, wie die Gruppe immer gewiefter Ereignisse und öffentliche Meinung manipuliert, indem sie Informationen sammelt und kontrolliert veröffentlicht – häufig und sehr effektiv geschieht dies über Credential Phishing. Ein Teil der Informationen wird dann auf Websites publiziert, die speziell darauf zugeschnitten sind, gestohlene Daten zu veröffentlichen.
Die Cyber-Propagandamethoden der Gruppe, das heißt die Nutzung elektronischer Medien für die Beeinflussung der Meinung, verursachen auf vielen Ebenen Probleme: »Neben der Manipulation der Öffentlichkeit bringen sie mit ihren Aktionen Politiker in Misskredit oder stören den Betrieb etablierter Medien«, erläutert Udo Schneider, Security Evangelist bei Trend Micro.
Aufbau des Pawn Storm Reports
Das erste Kapitel informiert über False-Tag-Operationen und gibt einen Abriss der Versuche von Pawn Storm, die öffentliche Meinung zu beeinflussen. Das zweite Kapitel widmet sich den verschiedenen Methoden bei den Angriffen auf kostenlose und Unternehmens-Webmail – vor allem über ausgeklügelte Phishing-Taktiken. Der dritte Teil beschreibt detailliert die von den Sicherheitsforschern verfolgten Pawn Storm-Kampagnen und listet die anvisierten Ziele auf. Das nächste Kapitel behandelt ihre bevorzugten Angriffe, Unterstützer und auch ihre Einstellung der eigenen Betriebssicherheit gegenüber. Zum Schluss geben die Autoren Richtlinien, wie der Schutz vor Pawn Storm aussehen kann.
[1] Unter dem Link https://documents.trendmicro.com/assets/wp/wp-two-years-of-pawn-storm.pdf finden Sie die englische Fassung der Studie. Die deutsche Fassung gibt es in Kürze auf der Website von Trend Micro www.trendmicro.de und im Trend Micro Blog unter https://blog.trendmicro.de/.
Conclusion and Defending Against Pawn Storm
This closer look at the activities, operational capacity, and tactics of Pawn Storm gives a comprehensive picture of the group’s real motives and capabilities. With a clear understanding of the trends that Pawn Storm is following, along with their history and past operations, hopefully potenzial victims and targets can properly address this threat. This last section is dedicated to defending against Pawn Storm.
Protecting yourself against an attacker like Pawn Storm is a challenge. They have resources that allow them to run lengthy campaigns over years, and seem to be single-minded in their pursuit of their targets.
We’ve seen how the group’s credential phishing tactics work to ensnare even the most savvy webmail users, and how sophisticated their attacks look. Pawn Storm has used several zero-days in 2015 and 2016. They also have well-established tactics, from using tabnabbing to compromising DNS settings, creating watering holes and advanced social engineering. And they have no trouble finding new ways to abuse technology.
Pawn Storm attacks from many different sides, and dedicate more of their resources when they identify a worthwhile target. Successfully repelling numerous attacks is not a guarantee; only one has to succeed for the attackers to achieve their goal.
However, there are some things you can do to raise the level of your defenses:
- Minimize your attack surface—systems that do not need to be exposed to the open internet shouldn’t be.
- Require remote workers to use the corporate VPN to access your systems.
- Minimize the number of domain names you maintain and centralize E-Mail servers.
- Prevent DNS hijacking of your domains. Work with reputable registrars only, or those that allow for two-factor authentication of your DNS administrator account. Lock your domain at the registrar to further raise the bar for unauthorized changes to your domains. For example you could choose to let your registrar call back your authorized DNS administrator to double check whether changes to DNS zones really have to be made.
- Enforce two-factor authentication for corporate webmail, or a better option would be to require authentication by means of a physical (USB) security key.
- Educate employees on securing their private free webmail and social media accounts too, and don’t let them use those accounts for work purposes.
- When your employees travel overseas or attend conferences, let them take a clean loan computer with them. Wipe the data from the computer and do a fresh OS install after the trip.
- Outsourced services can be compromised too, use only reputable third-party services.
- Educate workers about E-Mail system and/or E-Mail account best practices: specifically, don’t store sensitive information in E-Mail boxes without encryption and don’t send sensitive information by E-Mail without encryption.
- Let a reputable company do penetration testing of your network regularly. Include social engineering in these tests.
- Keep software updated and patched.
Kommentar zu möglichen Hacker-Angriffen auf den französischen Präsidentschaftskandidaten Emmanuel Macron
von Thomas Ehrlich, Country Manager DACH von Varonis:
Bereits im Januar haben amerikanische Sicherheitsbehörden vorausgesagt, dass Hacker, die im russischen Staatsauftrag agieren, ihre Erfahrungen aus den Angriffen im US-Wahlkampf dazu nutzen werden, um Wahlen weltweit zu beeinflussen. Nur ein paar Monate später reden wir wieder über Russland, Phishing und einen Präsidentschaftskandidaten.
Wir haben bei Hillary Clintons Wahlkampf gesehen, welchen zerstörerischen Einfluss geleakte E-Mails auf die Kampagne haben und wie sie Kandidaten oder Parteien schaden können. Und die Risiken beschränken sich nicht nur auf E-Mails: Politiker und Parteien – genau wie auch Unternehmen – erstellen jede Menge Dateien und speichern diese auf zahlreichen verwundbaren Orten: Kommunikationsstrategien, Mitglieder- und Spendenlisten, Aktionspläne usw. In unserem gerade veröffentlichten Datenrisiko-Report fanden wir heraus, dass durchschnittlich 20 Prozent der Ordner einer Organisation zugänglich für jeden Mitarbeiter sind! Und in 47 Prozent der Unternehmen hat die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien, wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen. Ein kompromittierter Account kann auf diese Weise einen enormen Schaden anrichten, indem massiv Daten gestohlen werden – und sogar möglicherweise Wahlen beeinflussen.
Hätten die gezielten Phishing-Attacken auf den französischen Präsidentschaftskandidaten Macron Erfolg gehabt, wären die Angreifer durch die erbeuteten Zugangsdaten zu virtuellen »Insidern« geworden, hätten Zugriff auf Dateien und E-Mails erhalten und die Wahl auf diese Weise beeinflussen können. Glücklicherweise waren die Verantwortlichen offensichtlich in der Lage, zumindest einige dieser Phishing-Versuche zu identifizieren. Aber dennoch: Es braucht aus Hacker-Sicht nur einen »Treffer«, um an die Zugangsdaten zu gelangen. Aus diesem Grund ist es auch umso wichtiger, weitere Maßnahmen zu ergreifen für den Fall, dass ein Angreifer die herkömmlichen Verteidigungslinien überwindet und es tatsächlich ins Innere schafft. Dazu zählen in erster Linie ein restriktiver Umgang mit Zugriffsrechten (Privilegienmodell auf Basis der minimalen Rechtevergabe), die Kontrolle, wer wann auf welche sensiblen Dateien zugreift und insbesondere eine fortschrittliche Analyse des Nutzerverhaltens. Diese erkennt ungewöhnliche Aktivitäten und Zugriffe und ist in der Lage einzuschreiten, bevor die Dateien herausgeschleust werden.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Hotspots für Hacker – Politiker werden durch öffentliches WLAN zu leichten Hack-Opfern
Hacker durchschnittlich 106 Tage unentdeckt in Unternehmensnetzwerken der EMEA-Region
Cybersicherheit: Finanzdatendiebstahl und Sicherheitslücken machen am meisten Sorgen
Maschinelles Lernen und künstliche Intelligenz werden die Cloud-Sicherheit verbessern
IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen
Waffen der Wahl für automatisierte IT-Angriffe in großem Stil – Untersuchung zu Exploit-Kits