Hacking-Kampagne kombiniert Angriffe, die auf Regierung, Finanzen und Energie abzielen

Eine vom Iran aus operierende Angriffsgruppe kopiert Techniken, die bei erfolgreichen, aufsehenerregenden Angriffen eingesetzt wurden – vergisst jedoch, ihre Spuren zu verwischen, wodurch ihre Taktiken offengelegt werden.

Video: Cyberwar: Nationalstaatliche Cyberangriffe bedrohen jedes Unternehmen

Sicherheit

8 Gewohnheiten hochsicherer Remote-Mitarbeiter
So finden und entfernen Sie Spyware von Ihrem Telefon
Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist

Eine neu aufgedeckte Cyberspionage Betrieb kombiniert bekannte Exploits mit maßgeschneiderter Malware in einer Kampagne, die Hunderte von Organisationen ins Visier genommen hat, insbesondere solche aus dem Regierungs-, Finanz- und Energiesektor.

Entdeckt von Forscher bei Symantec, Die Gruppe heißt Leafminer und operiert seit mindestens Anfang 2017 vom Iran aus.

Die Malware und benutzerdefinierte Werkzeuge Die von Leafminer verwendeten Systeme wurden in 44 Systemen im Nahen Osten entdeckt: 28 in Saudi-Arabien,

acht Im Libanon, drei in Israel, eins in Kuwait und vier in Unbekannt Standorte – aber die Untersuchung der Kampagne ergab eine Liste mit 809 Zielen.

Die Aktivitäten der Angreifer lassen darauf schließen, dass das Ziel ihrer Kampagne darin besteht, Daten zu stehlen, darunter E-Mails, Anmeldeinformationen, Dateien und Informationen auf Datenbankservern, die von kompromittierten Zielen betrieben werden.

Leafminer verwendet drei Haupttechniken, um Kompromisse einzugehen Ziel Netzwerke: Watering-Hole-Angriffe, Schwachstellen im Netzwerk Dienstleistungenund Brute-Force-Wörterbuchangriffe, die versuchen, Passwörter zu knacken. Forscher sagten dass auch Phishing-E-Mails eingesetzt werden könnten, aber Beweise dafür wurden bisher nicht gefunden.

Es waren zunächst die Watering-Hole-Angriffe und die Entdeckung kompromittierter Websites, die den Ausschlag gaben Symantec zu Leafminer. Bei den Watering-Hole-Angriffen wurde verschleierter JavaScript-Code auf Zielwebsites zurückgelassen, um SMB-Protokolle zum Abrufen von Passwörtern zu missbrauchen.

Zu den kompromittierten Zielen gehörten ein Standort der libanesischen Regierung, ein Standort des saudi-arabischen Gesundheitswesens und eine aserbaidschanische Universität. Forscher stellen fest, dass die gleiche Technik angewendet wurde letztes Jahr von der Hackergruppe DragonFly bereitgestellt – aber eher als verwandt zu sein Attacke Gruppe, Leafminer scheint zu sein Sei Nachahmung des früheren Angriffs.

Sehen Auch: Können russische Hacker gestoppt werden? Hier erfahren Sie, warum es 20 Jahre dauern könnte[TechRepublic]

Dies ist nicht die einzige Taktik, die Leafminer bei erfolgreichen Kampagnen übernommen hat andere kriminelle Gruppen. Leafminer verwendet EternalBlue -- Die durchgesickerte NSA-Sicherheitslücke die das angetrieben hat WannaCry-Ransomware -- bewegen innerhalb gezielte Netzwerke.

Auch die Angreifer versuchen es Scan für Herzblut, eine OpenSSL-Schwachstelle, die es Angreifern ermöglichen könnte, sie zu erkennen verschlüsselt Daten. Heartbleed kam 2014 ans Licht, Aber Tausende von Websites bleiben immer noch anfällig.

Eine andere bekannte Technik wird aufgehoben, um die Datenexfiltration zu unterstützen. Bekannt als DoppelgängerDer Prozess wurde Ende letzten Jahres enthüllt und umgeht Sicherheitstools, indem er Process Hollowing nutzt, um die bösartigen Prozesse harmlos aussehen zu lassen.

Die Verwendung aller oben genannten Punkte veranlasst Symantec zu der Aussage, dass Leafminer aktiv ist Monitore Entwickler und Veröffentlichungen Angriffstechniken für Ideen.

Die Kampagne basiert jedoch nicht nur auf umfunktionierten Angriffen anderer, da Leafminer im Rahmen seiner Kampagnen auch zwei Arten benutzerdefinierter Malware eingesetzt hat: Imecab Und Sorgu.

Imecab ist entworfen dauerhaft einzurichten Fernzugriff Es wird mit einem hartcodierten Passwort an einen Zielcomputer gesendet und als Windows-Dienst installiert, um sicherzustellen, dass es für den Angreifer verfügbar bleibt.

Sorgu wird in ähnlicher Weise verwendet Mode, Bereitstellung von Fernzugriff auf die infiziert Maschine und wird ebenfalls als Dienst über eine Shell im Windows-System installiert Befehl Skript.

Aber die Leafminer-Gruppe scheint daran interessiert zu sein lernen Im Vergleich zu anderen erfolgreichen Spionagekampagnen ist die Betriebssicherheit in einem Punkt gescheitert: Forscher entdeckten einen Staging-Server, der von den Angreifern für den öffentlichen Zugriff genutzt wurde, und entlarvten die Die gesamte Gruppe Arsenal von Werkzeugen, was auf Unerfahrenheit der Angreifer hinweist.

Mehr: VPN-Dienste 2018: Der ultimative Leitfaden zum Schutz Ihrer Daten im Internet (TechRepublic)

Diese öffentlichen Informationen führten auch zu einer Liste von über 800 potenziellen Zielen in den Bereichen Regierung, Finanzen und Energie im gesamten Nahen Osten. Die Liste ist in der iranischen Farsi-Sprache verfasst, was Forscher zu dem Schluss führt, dass die Gruppe im Iran ansässig ist, obwohl es derzeit keine Beweise dafür gibt eine staatlich geförderte Kampagne.

Unabhängig davon, wer hinter der Kampagne steht, ist es wahrscheinlich, dass die Gruppe weiterhin Angriffstechniken entwickelt – und das Ausmaß böswilliger Angriffe sogar noch erweitern könnte.

„Es ist möglich, dass die Gruppe weiterhin adoptiert und anpassen Sowohl neue öffentlich verfügbare Hacking-Tools und -Techniken als auch Proof-of-Concept-Exploits für neue und alte Schwachstellen“, sagte Armin Buescher, Bedrohungsforscher bei Symantec, gegenüber ZDNet.

„Was die Angriffsziele angeht, könnten die Angreifer weiterhin Ziele im Nahen Osten angreifen und sich vielleicht sogar auf Länder außerhalb der Region ausweiten.“