Cyber-Angriff auf Israel: Spionage-on-Demand?

Ein Kommentar von Udo Schneider, Solution Architect beim IT-Sicherheitsanbieter Trend Micro

Tags: #spyware #cyberspionage #trojaner #backdoor #israel #syrien #apt #trendmicro

Hallbergmoos, 19. November 2012. Vor wenigen Wochen gingen Berichte über gezielte Spionageangriffe mit verseuchten E-Mail-Anhängen auf israelische Behörden im In- und Ausland durch die Presse. Die Hintermänner scheinen sich allerdings nicht ausschließlich auf das Ausspionieren von israelischen Geheimnissen zu konzentrieren. Seit über einem Jahr werden mit denselben, im digitalen Untergrund weit verbreiteten Schädlingen auch palästinensische Einrichtungen, aber auch syrische Aktivisten und andere attackiert. Die Täter scheinen nach Recherchen Trend Micros immer dieselben zu sein und nach dem Motto „Welches Land darf ich für Sie ausspionieren?“ zu verfahren.

Auf Basis aktueller Nachforschungen von Experten der Kollegen von Norman sowie dem Sicherheitsspezialisten Brian Krebs haben die Forscher bei Trend Micro sich auf die Suche nach den Hintermännern der E-Mail-Attacke gemacht. Dabei stießen sie auf einen Autor mit dem Pseudonym „aert“, der sich auf einem Internetforum zu verschiedenen digitalen Schädlingen wie „DarkComet“ und „Xtreme RAT“ geäußert hat.

Während „DarkComet“ bei den meisten Attacken gegen syrische Oppositionelle eingesetzt wurde, verwendeten die Cyberspione bei dem jüngsten Angriff gegen Palästinenser sowie Einrichtungen der israelischen Regierung den Hintertürschädling „Xtreme RAT“. Dabei handelt es sich um einen so genannten Trojaner, der für den Diebstahl von Informationen und die Ausführung von Befehlen durch einen aus der Ferne agierenden Angreifer konzipiert wurde.

Gezielte Angriffe auf Länder – mit Schadsoftware vom Schwarzmarkt
Nicht nur bei dem Angriff auf israelische Einrichtungen, sondern auch im Laufe der gesamten Spionage-Kampagne tarnte sich der Schädling als vermeintlich interessanter Dokumentenanhang in einer E-Mail-Nachricht. Als Absender wurde stets eine Person ausgewählt, die dem jeweiligen Empfänger als absolut vertrauenswürdig erscheinen musste. Kann selbst ein geschulter Mitarbeiter des israelischen Außenministeriums widerstehen, einen Dateianhang zu öffnen, wenn dieser angeblich vom Oberbefehlshaber der Streitkräfte verschickt wurde?

Wir haben zwar noch keine Anhaltspunkte über die Motive der Angreifer. Die Tatsache aber, dass die betrügerischen E-Mails offenbar auch an Einrichtungen in den USA, Großbritannien, der Türkei und anderen geschickt wurde, zeigt, dass sich irgendjemand ein Bild von politisch wertvollen Informationen zur Lage im Nahen Osten machen wollte. Fakt ist auch, dass dabei eine auf dem digitalen Schwarzmarkt leicht zu beschaffende Spionagesoftware verwendet wurde. Vielleicht handelt hier ein eher „gewöhnlicher“ Cyberkrimineller im Auftrag Dritter, der seine Dienste meistbietend verkauft. Cyberspionage, nicht nur für wirtschaftliche, sondern auch politische Zwecke wird möglicherweise zu einer frei handelbaren Ware.

Weitere Informationen sind auf dem deutschen Trend Micro-Blog erhältlich.

Über Udo Schneider
Als „Solution Architect EMEA“ beim IT-Sicherheitsanbieter Trend Micro ist Udo Schneider mit den Gefahren vertraut, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bei der Entwicklung geeigneter Gegenmaßnahmen konzentriert er sich auf die Themen Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider greift dabei auf eine langjährige Erfahrung zurück, die er als Berater, Trainer und Professional-Services-Analyst bei führenden Anbietern des IT-Sicherheitsmarktes erworben hat.