Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > „Operation Woolen-Goldfish“: Hacking-Kampagne gegen Deutschland und Israel​

„Operation Woolen-Goldfish“: Hacking-Kampagne gegen Deutschland und Israel​

Spionageabwehr/Materieller Geheimschutz     8 | 2015

Im März 2015 detektierte das japanische Sicherheitsunternehmen Trend Micro sowohl in Deutschland als auch in Israel Cyberattacken – mutmaßlich initiiert von einer Hackergruppierung, die von der iranischen Regierung finanziert wurde. Der Cyberangriff erhielt von Trend Micro den Namen „Woolen-Goldfish“. Die Attacke wird als ein technisch verhältnismäßig einfaches, jedoch gleichzeitig äußerst effektives Manöver zur Ausspähung von Daten beschrieben. Die konkrete Täterschaft wird der iranischen Hackergemeinschaft „Rocket Kitten“ zugeschrieben, wobei gemutmaßt wird, dass ein „Mehdi Mahdavi“ unter dem Akronym „Wool3n.H4t“ die Attacke selbst entwickelt hat. Laut Trend Micro besteht die Gemeinsamkeit aller angegriffenen Ziele darin, dass sie sich in unterschiedlicher Art und Weise mit Iran auseinandersetzen und damit Informationen besitzen, die durchaus auch für die iranische Regierung von Interesse sein könnten.

Das Verhältnis zwischen Iran und den westlichen Nationen sowie insbesondere Israel ist seit Jahrzehnten belastet. Seit der Islamischen Revolution 1979 weigert sich Iran z. B., Israels Existenzrecht als Staat anzuerkennen, zudem droht das Land regelmäßig mit dessen Vernichtung. Besonders umstritten ist das iranische Atomprogramm, bei dem die westlichen Länder von der Entwicklung nuklearer Waffen ausgehen. Iran selbst besteht darauf, die Atomtechnologie ausschließlich für zivile Zwecke nutzen zu wollen.
 
Die Cyberattacken richteten sich gegen zahlreiche Ziele, betroffen waren sowohl privatwirtschaftliche als auch öffentlich-rechtliche Einrichtungen. Laut verschiedenen Presseberichten gehörten dazu zivile Organisationen und akademische Einrichtungen in Israel. Deutsche Behörden sowie europäische Unternehmen und Regierungsorganisationen sollen ebenfalls angegriffen worden sein.
 
 
Funktionsweise und Gefahren von „Woolen-Goldfish“
 
Die Hackerattacke „Woolen-Goldfish“ basiert auf dem gezielten Versenden speziell präparierter Phishing-E-Mails vermeintlich hochrangiger Absender; die Nachrichten enthalten einen Link, der potenzielle Opfer zu einer Datei in einem kostenfreien Online-Speicherservice führt. Diese Datei – vorgeblich ein PowerPoint-Dokument – infiziert das Zielsystem im Hintergrund mit einer Schadsoftware (Spyware-Trojaner; Keylogger). Der Keylogger protokolliert sämtliche Tastatureingaben des Benutzers auf dem Zielsystem und leitet diese unbemerkt an den Angreifer weiter. Der genaue technische Ablauf wird auf der Homepage von Trend Micro ausführlich beschrieben.
 
In diesem Kontext ist zu beachten, dass die Malware (TSPY_WOOLERG.A) nicht vollständig neu ist. Bei dem beschriebenen Angriffsszenario der Operation „Woolen-Goldfish“ handelt es sich um eine angepasste Schadsoftwarevariante der seit 2011 bekannten „GHOLE-Kampagne“ von „Rocket Kitten“, bei der „Mehdi Mahdavi“ alias „Wool3n.H4t“ ebenfalls bereits aktiv war [Quelle: Weblog von Trend Micro; abgerufen am 6. Juli 2015].
 
Beurteilung der Angriffsmethode
 
Die Angriffsmethode ist weder neu, noch von außergewöhnlich hoher Qualität. Das tut ihrem Erfolg allerdings keinen Abbruch, was man an der großen Anzahl infiltrierter Ziele erkennen kann. Neben Iran praktizieren beispielsweise auch die Volksrepublik China und die Russische Föderation seit Jahren wirksame „Spear-Phishing-Attacken“. Diese Ausspähversuche zählen zu den sogenannten „Advanced Persistent Threats (APTs)“, welche im Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für das Jahr 2014 näher beschrieben werden [Quelle: Lagebericht auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik; abgerufen am 6. Juli 2015]. Im Fall von „Woolen-Goldfish“, wie auch in vielen anderen Fällen, liegt der Ursprung in einer einfachen E-Mail. Nachrichten dieser Art sind so genau an dem Empfänger bekannte Standards (z. B. Optik des Firmennetzwerks) angepasst, dass es für Anwender keinen ersichtlichen Grund gibt, den verseuchten Dateianhang oder Link nicht anzuklicken.
 
Auch baden-württembergische Betriebe sind schon Opfer solcher Angriffe geworden. Beispielhaft dafür steht folgender Vorgang: Vor kurzem kam es zu einem gezielten „Spear-Phishing“-Angriff per E-Mail auf einen leitenden Mitarbeiter eines Technologieunternehmens; die Nachricht war ähnlich strukturiert wie diejenigen, die auch bei der „Operation Woolen-Goldfish“ verwendet wurden.
 
Zunächst ging bei dem Mitarbeiter der betroffenen Firma eine E-Mail mit dem gefälschten Absender des „servicedesks“ der Firma ein. Eine anschließende E-Mail-Header-Analyse hat jedoch ergeben, dass die Nachricht in Wirklichkeit von einem „Freemail“-Account verschickt worden war. In der E-Mail wurde der Empfänger gebeten, sich an einem kürzlich aktualisierten „Remote-System“ mit seinen Authentifizierungsdaten anzumelden. Charakteristisch war, dass sowohl der vorgetäuschte Absender als auch der vorgetäuschte Login-Link den Firmenstandards entsprachen; der Angreifer verfügte also über firmeninternes Wissen. Die dadurch bedingte stimmige Vortäuschung des Absenders und des Links führten aus Angreifersicht dazu, dass der Betrugsversuch mit hoher Wahrscheinlichkeit erfolgreich sein würde.
 
Es ist davon auszugehen, dass lediglich der Umstand, dass der Empfänger für längere Zeit nicht am Arbeitsplatz anwesend war, eine Abfischung von Daten durch den Angreifer verhindern konnte. Hinter dem Login-Link verbarg sich die IP-Adresse einer im Ausland gehosteten und gekaperten bzw. eigens für den Angriff erstellten „Firmen“-Internetseite. Sofern die Attacke erfolgreich verlaufen wäre, hätte der Angreifer durch die vom Opfer eingegebenen „Remote-Zugangsdaten“, zumindest mit den Privilegien bzw. Berechtigungen des Mitarbeiters, Zugang zu den Rechnersystemen des Unternehmens erhalten können. Ziel des Angreifers war es in diesem Fall – und ist es auch in ähnlich gelagerten Fällen –, über den erlangten Zugang zunächst eine direkte Informationsgewinnung zu generieren und gegebenenfalls im Anschluss den Start von weitergehenden Angriffen auf Rechnersysteme und Netzwerke des Unternehmens zu initiieren.
 
Solchen elektronischen Angriffen geht in der Regel ein methodisch ausgefeiltes „Social Engineering“ voraus. Dieser Begriff bezeichnet zwischenmenschliche Manipulation mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen und sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produkts oder zur Freigabe von Finanzmitteln zu bewegen. „Social Engineers“ spionieren das persönliche Umfeld ihrer Opfer aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Wie in dem geschilderten Fall dient „Social Engineering“ oft dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten auszuspionieren; man spricht dann auch von „Social Hacking“.
 
Die aktuell attackierten Opfer dieser Angriffe stammen aus den unterschiedlichsten Branchen. Unter ihnen sind Forschungseinrichtungen, Satellitenunternehmen, Rüstungskonzerne, Automobilhersteller und Zuliefererbetriebe. Ebenso kam es bereits in der Luft- und Raumfahrtindustrie, bei Erzeugern erneuerbarer Energien und bei Optikkonzernen zu entsprechenden Sicherheitsvorfällen.
 
Empfehlungen des Verfassungsschutzes
 
Die oben beschriebenen Vorgänge zeigen einerseits, dass Cybersicherheit ein omnipräsentes Thema ist, und andererseits, wie bedeutsam sowohl die Erarbeitung und Implementierung als auch die Kontrolle von ganzheitlichen Informationsschutzkonzepten in Wirtschaft und Behörden sind. Dies wird in der täglichen Präventionsarbeit des Verfassungsschutzes stets betont. Gerade Baden-Württemberg ist angesichts seiner innovationsstarken und wirtschaftlich erfolgreichen Unternehmen ein interessantes Angriffsziel für Wirtschaftsspione, die sich illegitim Zugang zu vertraulichen Unternehmensdaten beschaffen möchten. Die wirkungsvolle Bekämpfung dieser Gefahren erfordert mannigfaltige Abwehrmaßnahmen.
 
Bezüglich des u. a. bei „Spear-Phishing“ besonders bedeutsamen Faktors Mensch ist es wichtig, die Mitarbeiter eines Unternehmens respektive einer Behörde bezüglich der entsprechenden aktuellen Sicherheitsproblematiken zu sensibilisieren. Darüber hinaus sollten sämtliche IuK-Systeme nach Möglichkeit über einen IT-Grundschutz auf Basis der BSI-Empfehlungen, -Standards und -Maßnahmenkataloge verfügen und technisch wie organisatorisch bestmöglich abgesichert werden. In Ergänzung zu den Basiselementen der IuK-Absicherung ist es ebenso notwendig, im Rahmen eines Risikomanagementprozesses eine weitgehende Separierung der „Kronjuwelen“ bzw. der Firmengeheimnisse vom Rest des betrieblichen Ablaufs sicherzustellen.
 
Um sich vor professionellen gezielten Cyber-Angriffen wirkungsvoll zu schützen, bedarf es einer Reihe von aufeinander abgestimmten Schutzmaßnahmen. Einen methodischen Einstieg hierzu bietet zunächst eine entsprechende BSI-Handreichung [„Schützen Sie sich vor professionellen, gezielten Cyber-Angriffen“; zum Herunterladen auf den Seiten der Allianz für Cyber-Sicherheit]. Das Landesamt für Verfassungsschutz Baden-Württemberg bietet zu dieser Problematik Informationsgespräche, Vorträge und Beratung vor Ort an.
 
Beratungswünsche nimmt das Landesamt für Verfassungsschutz unter der Rufnummer 0711/95 44-301 entgegen. Auf Wunsch werden die Informationen vertraulich behandelt.