Potenziell staatlich geförderte Cyberspionage unter der Lupe

In den vergangenen Monaten hat Unit 42, die Forschungsabteilung von Palo Alto Networks, eine Reihe von Cyberangriffen untersucht und eine Gruppe mit dem Codenamen »Scarlet Mimic« identifiziert. Vieles deutet darauf hin, dass es die primäre Aufgabe der Angreifer ist, Informationen über Aktivisten, die sich für Minderheitenrechte einsetzen, zu sammeln. Es gibt derzeit aber keine unwiderlegbaren Beweise für eine direkte Verbindung dieser Angriffe mit einer Regierung. Die Informationen, die abgegriffen werden, wären jedoch nur für einen Staat nützlich. Palo Alto Networks ist daher überzeugt, dass Scarlet Mimic im Auftrag einer staatlichen Organisation agiert.

Unit 42 hat Scarlet Mimic untersucht, um Gegenmaßnahmen für die Prävention und Erkennung bereitzustellen. Das Team kann noch nicht ermitteln, welche Angriffe erfolgreich waren. Die Tatsache aber, dass Scarlet Mimic mit immer fortschrittlicherer Malware vorging, legt nahe, dass die Angreifer immerhin bei einem bestimmten Prozentsatz ihrer Operationen bereits erfolgreich gewesen sind. Die Analyse ergab auch, dass sich die Spionagebemühungen von PCs auf mobile Geräte ausgedehnt haben, was auf eine Evolution in der Taktik hindeutet.

Verschiedenste Einzelpersonen und Gruppen können zum Ziel von Cyberspionage-Kampagnen werden. Die prominentesten Opfer sind in der Regel staatliche Organisationen oder High-Tech-Unternehmen. Entscheidend ist aber, dass die Spione oft beauftragt werden, Informationen aus vielen Quellen zu sammeln.

Die Angriffe, die Unit 42 Scarlet Mimic zuschreibt, zielten in erster Linie auf uigurische und tibetische Aktivisten sowie Personen, die sich für sie einsetzen. Beide Minderheiten haben angespannte Beziehungen mit der Regierung der Volksrepublik China. Allerdings gibt es keine handfesten Beweise für eine Verbindung der Angriffe mit der Regierung. Scarlet-Mimic-Angriffe erfolgten auch gegen staatliche Organisationen in Russland und Indien, die für die Verfolgung von Aktivisten und terroristische Aktivitäten verantwortlich sind. Obwohl d

ie genauen Ziele jedes Angriffs nicht bekannt sind, zeigen viele davon ein ähnliches Muster.

Die Angriffe von Scarlet Mimic zielen auf technischer Seite auf eine Windows-Backdoor namens »FakeM«, die erstmals 2013 in Erscheinung trat. FakeM ahmte dabei innerhalb ihrer Command&Control-Kommunikation den Datenverkehr von Windows Messenger und Yahoo! Messenger nach, um nicht entdeckt zu werden. Unit 42 hat nun zwei Folgevarianten der FakeM-Familie identifiziert, die erhebliche Veränderungen aufweisen gegenüber der Ausführung von 2013. Scarlet Mimic verwendet neun verschiedene »Loader«-Malware-Familien, um nicht entdeckt zu werden, wenn die Infektion eines Systems erkannt wird. Zusätzlich zu den FakeM-Varianten hat Scarlet Mimic Trojaner eingesetzt, die auf Mac-OS-X- und Android-Betriebssysteme abzielten. Unit 42 hat Verbindungen dieser Angriffe zu Scarlet Mimic durch Analyse der Command&Control-Infrastruktur nachgewiesen.

grafik paloalto spear phishing

Figure 1: »Spear Phishing with Decoy« Attack Pattern Deployed by Scarlet Mimic. Quelle Palo Alto

Speer-Phishing- als auch Watering-Hole-Angriffe

Um an die Ziele für den Zugriff auf die Daten zu kommen, setzten die Akteure von Scarlet Mimic sowohl auf Speer-Phishing- als auch Watering-Hole-Angriffe, mindestens bereits seit 2009. Wie viele andere Angreifer auch, die Speer-Phishing verwenden, um die Opfer zu infizieren, machte Scarlet Mimic starken Gebrauch von »Lockvogel«-Dateien. Dies sind legitim erscheinende Dokumente, die sich auf den Inhalt der Spear-Phishing-Mail beziehen. Nachdem das System infiziert ist, zeigt die Malware das Köderdokument, damit der Benutzer glaubt, dass keine schädliche Aktivität erfolgt ist. Die jüngsten Angriffe wurden im Jahr 2015 durchgeführt und deuten darauf hin, dass die Gruppe ein starkes Interesse sowohl an muslimischen Aktivisten als auch Kritikern der russischen Regierung und des Präsidenten Wladimir Putin hat.

Die primäre Datenquelle, die in dieser Analyse verwendet wurde, ist WildFire von Palo Alto Networks. WildFire analysiert Malwareangriffe, die auf der ganzen Welt verwendet werden. Das System analysiert auch Malware-Samples, die im Rahmen der Cyber Threat Alliance, einer Partnerschaft mit anderen Sicherheitsanbietern, gesammelt werden. Um Angriffe miteinander zu verbinden, basierend auf dem Malwareverhalten und der Steuerungsinfrastruktur, hat Palo Alto Networks auf seinen AutoFocus-Dienst zurückgegriffen. AutoFocus-Benutzer können alle Dateien und die Malware in Zusammenhang mit Scarlet Mimic abrufen.

Weitere Details zu Scarlet Mimic unter https://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/