Cyberspionage-Kampagne NetTraveler nimmt seit 2004 hochrangige Ziele ins Visier

Kaspersky Lab hat eine Cyberspionage-Kampagne analysiert (PDF-Datei), die seit 2004 hochrangige Opfer ins Visier nimmt. Insgesamt sollen bis zu 1000 Personen aus mindestens 40 Ländern systematisch ausgehorcht worden sein – darunter auch Opfer aus Deutschland. 350 der ausspionierten Personen konnte Kaspersky identifizieren, sie bekleiden wichtige Positionen in privaten und öffentlichen Einrichtungen, Regierungsinstitutionen, Forschungseinrichtungen oder der Rüstungsindustrie. Außerdem wurden auch Tibet-Aktivisten angegriffen. Die als NetTraveler benannte Kampagne beschaffte sich so vor allem Informationen aus den Bereichen der Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie, Lasertechnologie, Medizin und Kommunikation.

Die Opfer infizierten sich mit der Spionagesoftware über gezieltes Phishing (Spear Phishing). Geködert wurden die Empfänger über auf sie zugeschnittene Mailanhänge, die zum Beispiel eine "Army Cyber Security Policy 2013" oder einen Bericht zu "Asia Defense Spending Boom" enthalten sollten. In Mail-Anhängen lauerten etwa schädliche Office-Dokumente, die die Lücken CVE-2012-0158 und CVE-2010-3333 ausnutzten. Diese wurden schon mehrfach für Angriffe mit Social-Engineering-E-Mails genutzt. Auch die Spionagekampagne Roter Oktober setzte auf eine dieser Lücken. Auf den Rechnern nisteten sich dann Trojaner ein, durch die die Cyberspione dauerhaft auf die Systeme zugreifen konnten.

Der Höhepunkt der Angriffe war laut Kaspersky zwischen den Jahren 2010 und 2013 zu verzeichnen. Das Sicherheitsunternehmen untersuchte unter anderem einige der Command-&-Control-Server. Über diese sollen mindestens 22 GByte an Daten transferiert worden sein. Darunter fanden sich etwa PDFs, Excel- und Word-Dateien und technische Zeichnungen (etwa AutoCAD). Die von der Gruppe installierten Tools reichten aber auch aufgezeichnete Tastatureingaben weiter.

Von den 350 identifizierten Opfern in 40 Ländern kommen die meisten – der Anzahl nach geordnet – aus der Mongolei, Russland, Indien, Kasachstan, Kirgisistan, China, Tadschikistan, Südkorea, Spanien und Deutschland. Deutschland hat es so in die Top 10 der am meisten betroffenen Nationen geschafft. Sechs der 350 Opfer sollen gleichzeitig auch Ziel der Spionagekampagne Roter Oktober gewesen sein – Kaspersky vermutet, da diese Personen Informationen besitzen, die für beide Kampagnen von Interesse sind.

Wer genau hinter der Hackergruppe NetTraveler steckt, deutet Kaspersky an. Die Gruppe soll aus circa 50 Personen bestehen, von denen die meisten chinesische Muttersprachler mit Englischkenntnissen sein müssten. Weitere Informationen werden wohl erst mit dem zweiten Teil von Kasperskys Bericht herausgegeben. Schon bei Roter Oktober hatte das Sicherheitsunternehmen die Untersuchungsergebnisse scheibchenweise veröffentlicht. (kbe)