Kaspersky: Cybersöldner schlagen gezielt und zügig zu

Kaspersky hat einen Söldnertrupp entdeckt, der schnell und präzise Operationen ausführt. Betroffen sollen besonders Ziele in Japan und Südkorea sein, einige infizierte Rechner wurden aber auch in Deutschland lokalisiert.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Lesezeit: 3 Min.

Cybersöldner oder auch Icefog-Gruppe, so nennt Kaspersky Lab die Protagonisten ihres neuesten Untersuchungsberichts. Seit dem Jahr 2011 soll die Icefog-Gruppe Ziele in Südkorea und Japan angreifen und auf diese Weise auch ganz gezielt Lieferketten von westlichen Firmen zerschlagen. Weitere Ziele sollen das Militär, Schiffsbau und maritime Operationen, Forschungseinrichtungen, Computer- und Softwareentwicklung, Telekommunikations- und Satellitenbetreiber, sowie Massenmedien und TV-Anbieter sein.

Über dieses Interface kommunizieren die Kriminellen mit den Rechnern der Opfer.

(Bild: Kaspersky )

Wie Kaspersky herausstellt, unterscheiden sich die Angriffe der Icefog-Gruppe maßgeblich von anderen Cybercrime-Kampagnen. Während bei den gängigen Attacken Rechner oft über Monate mit Schadsoftware infiziert bleiben und kontinuierlich Daten abgezapft werden, stürzt sich die Icefog-Gruppe nur für einen kurzen Zeitraum auf seine Opfer. Haben sich die Hacker Zugriff auf die Systeme verschafft, scheinen sie nur einige spezielle Informationen zu kopieren, um dann wieder zu verschwinden. Das deute laut Kaspersky darauf hin, dass die Cyberkriminellen genau gebrieft werden, was sie zu tun haben.

Bei ihren Attacken setzen die Angreifer zunächst auf Spear-Phishing. Opfer erhalten speziell gestaltete E-Mails mit Schadsoftware im Anhang oder mit Links auf verseuchte Webseiten. Ausgenutzt werden Lücken in Produkten von Microsoft wie etwa Windows und Word, oder Schwachstellen in Oracles Java. Für südkoreanische Ziele wird als Einfallstor auch das südkoreanische Textverarbeitungsformat HWP genutzt.

Vor allem Mac-Nutzer in China sind von Icefog in Mitleidenschaft gezogen worden.

(Bild: Kaspersky )

Sind die Empfänger auf die E-Mails hereingefallen, installiert sich das Icefog-Backdoor-Set. Mit dem Programm erhalten die Angreifer Zugriff auf die Rechner und laden noch einige weitere Schadprogramme nach. Beispielsweise Tools, die Passwörter aus Browsern klauen. Auf den Rechnern sucht die Gruppe dann vor allem nach Dokumenten, User-Account-Daten und Adressbucheinträgen.

In Kasperskys Sinkhole fanden sich auch einige IPs von deutschen Windows-Rechnern.

(Bild: Kasperksy )

Die von Kaspersky analysierten Angriffe wurden sowohl gegen Microsoft Windows als auch gegen Mac OS X gefahren. Macs waren sogar häufiger betroffen als Windows-Systeme. Um dort angreifen zu können, nutzte die Icefog-Gruppe eine modifiziertes Programm – Macfog. Der Großteil der betroffenen Mac-Nutzer stammt aus China. Auch für die Infizierten Microsoft-Rechner gilt dies, allerdings scheinen auch einige Rechner in Deutschland von der Gruppe kompromittiert worden zu sein.

Dass in diesen Ländern so viele infizierte Geräte gefunden wurden, bedeute aber nicht, so Kaspersky, dass hier auch wirklich die eigentlichen Ziele der Gruppe ansässig sind. Dies sei darauf zurückzuführen, dass die von der Gruppe genutzte Malware auch in einigen Software-Sammlungen versteckt gewesen sei oder in Foren gelauert habe. Dass Japan und Südkorea die eigentlichen Ziele gewesen seien, erkläre sich durch die gefundenen Spear-Phishing-E-Mails und Samples. Die Angriffe sollen im Jahr 2011 gestartet sein und seitdem stetig zugenommen haben. Im Jahr 2013 sind etwa einige parallel verlaufende Operationen zu verzeichnen.

Einige der Icefog-Operationen aus den Jahren 2012 und 2013.

(Bild: Kaspersky )

Den Namen Icefog hat die Sicherheitsfirma aus einem String der Command-&-Controll-Server-Software entnommen, die die Kriminellen nutzen. Die C&C-Software heißt im Chinesischen "Dagger Three". Durch einige weitere Hinweise in den Malware-Samples liegt die Vermutung nahe, dass die Gruppe chinesischen Ursprungs ist. Auf welche Weise tatsächlich Lieferketten aus dem Westen kompromittiert wurden, bleibt der Bericht von Kaspersky im Detail schuldig. (kbe)