In den USA hergestellte kommerzielle Software, die von staatlichen Stellen zum Hacken militärischer Ziele in Europa und Israel verwendet wird

Table Of Contents

• Verdächtige staatliche Hacking-Kampagne gegen Europa und Israel verwendete in den USA hergestellte kommerzielle Software
• Anderer Ansatz
• Rocket Kitten
• Iran als Hauptverdächtiger

Verdächtige staatliche Hacking-Kampagne gegen Europa und Israel verwendete in den USA hergestellte kommerzielle Software

Eine Hacking-Kampagne gegen militärische Ziele in Israel und Europa ist kürzlich ans Licht gekommen, und die Forscher hinter der Entdeckung glauben, dass der Angriff kommerziell verfügbare Software genutzt hat. Die Forscher von CrowdStrike und dem Startup Cymmetria werden ihre ungewöhnlichen Erkenntnisse am Samstag auf der jährlichen Chaos Communication Congress-Sicherheitskonferenz in Hamburg präsentieren.

Anderer Ansatz

Kriminelle Angreifer haben seit einiger Zeit kommerziell verfügbare Werkzeuge – wie Metasploit – genutzt. Staatliche Akteure hingegen scheuen sich in der Regel, kommerzielle Software zu verwenden, aus Angst, dass sie auf ihren Kunden zurückverfolgt werden könnte, was zu öffentlichem Aufschrei führen würde. Länder neigen dazu, speziell geschriebene Software für die meisten Zwecke zu verwenden, um Sicherheit und Unabhängigkeit zu erhöhen. Dieser Angriff jedoch verfolgte einen neuen Ansatz, indem ein Sicherheitstestwerkzeug missbraucht wurde, das von Core Security mit Sitz in Boston entwickelt wurde. Core Security verkauft seine Produkte an Kunden, die ihre eigenen Sicherheitsmechanismen testen möchten.

Große von der Regierung gesponserte Hacks verwenden speziell geschriebene Werkzeuge, ergänzt durch kostenlose und weit verbreitete Programme. Das liegt teilweise daran, dass kommerzielle Programme auf bestimmte Kunden zurückverfolgt werden könnten. Obwohl die Abhängigkeit von bestimmten ähnlichen maßgeschneiderten Werkzeugen es den Forschern ermöglicht hat, einen Angriff auf bestimmte Entitäten etwas einzugrenzen. Die Verwendung des Core-Sicherheitsprogramms fügt jedoch eine neue Wendung zur Geschichte hinzu.

Die Verwendung des Core Security-Programms, das typischerweise 10.000 oder 20.000 Dollar kostet, könnte helfen, die Dinge zu verwirren, und der CrowdStrike-Analyst Tillmann Werner sagte, es könnte auch einer zweitklassigen Cybermacht helfen, einige der Arbeiten zu überspringen, die häufig von China, Russland und den Vereinigten Staaten durchgeführt werden. „Die wahrscheinlichste Antwort ist, dass sie nicht die Fähigkeit hatten, es selbst zu tun“, sagte Werner über die Hacker und fügte hinzu, dass „es kein Risiko gibt, Werkzeugspuren zu hinterlassen.“

Rocket Kitten

Werner und der Geschäftsführer von Cymmetria, Gadi Evron, der auch den israelischen CERT leitet, sagten, sie wüssten nicht, wer hinter der Kampagne stecke. Aber anhand der Beweise der Opfer haben die Forscher das Gefühl, dass der Angriff möglicherweise von Iran gesponsert wurde. Evron hat gesagt, dass sie Angriffe festgestellt haben, die bis in den April zurückreichen. Diese Angriffe umfassen solche auf ein israelisches Unternehmen „in der Nähe der Verteidigungs- und Luftfahrtindustrie“, eine israelische akademische Institution, eine deutschsprachige Verteidigungsbehörde und ein osteuropäisches Verteidigungsministerium. Die einzige andere Information, die wir zu diesem Zeitpunkt haben, ist, dass die Angriffe auf Ziele in Israel erfolglos waren.

CrowdStrike hat diese Hacking-Kampagne als „Rocket Kitten“ bezeichnet, gemäß ihrer Konvention, jede vermutete iranische Cyberangriffsgruppe als Kittens zu benennen. Der Angriff basierte auf infizierten Excel-Dokumenten, die an Führungskräfte der Ziele gesendet wurden. Die E-Mail bat um Erlaubnis, ein Makroprogramm innerhalb der Excel-Tabelle auszuführen. Makros sind kleine automatisierte Programmteile, die programmiert sind, um eine bestimmte Aufgabe auszuführen.

In diesem Fall trug das Makro jedoch eine Trägermalware. Sobald der Geschäftsführer des Zielunternehmens das Makro ausführte, würde die Trägermalware andere Komponenten des Core Impact Tools von Core herunterladen und auf den Servern dieser Maschinen installieren. Eine der Funktionen des Core Impact Tools von Core ist seine Tarnfähigkeit, um der Entdeckung zu entgehen.

Die Lizenzbedingungen von Core verbieten die Verwendung seines Programms gegen ahnungslose Dritte, und Flavio de Cristofaro, Vizepräsident für Engineering bei Core, sagte, das Unternehmen habe in den letzten fünf Jahren von einem solchen Missbrauch nichts gehört. De Cristofaro sagte, das Unternehmen würde dem CERT helfen, wenn es darum gebeten wird, und in jedem Fall versuchen, herauszufinden, wie die Software von den Wasserzeichen und anderen technischen Einschränkungen, die ihre Verbreitung einschränken sollen, entfernt wurde.

„Wir werden dem nachgehen“, sagte de Cristofaro.

Iran als Hauptverdächtiger

Seit der angeblichen Beteiligung der USA und Israels am Angriff auf das iranische Atomprogramm durch den Stuxnet-Virus soll Iran seine Cyberkriegskapazitäten ausbauen. Der Stuxnet-Virus war besonders destabilisierend für Irans einheimisches Atomprogramm und ist einer der Gründe, warum Iran an den Verhandlungstisch mit den westlichen Mächten zu Fragen der Nichtverbreitung gekommen ist. Zuvor hatten iranische Hacker erfolgreich eine Hacking-Operation gegen die Las Vegas Sands Corp. durchgeführt, die praktisch die Netzwerke des in den USA ansässigen Casino-Betreibers lahmlegte. Dieser Angriff wurde durchgeführt, weil der Eigentümer von Sands Corp. die US-Armee aufgefordert hatte, Iran zu bombardieren, um zu verhindern, dass es spaltbares Material verbreitet. Die Ermittler zu diesem Hackerangriff fanden keine Verbindungen zum Staat Iran, aber diese Tatsache negiert nicht, dass Iran ein sehr einfallsreiches Land in den Künsten der Cyberkriegsführung ist.

Resource : Chicago Tribune.