Phishing

Check Point: Hohe Würdenträger mit Spear-Phishing angegriffen

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point: Hohe Würdenträger mit Spear-Phishing angegriffen

Ranghohe Beamte und Vorstände aus Israel und den USA im Visier

Die Sicherheitsforscher von Check Point haben eine iranische Kampagne enttarnt, die sich vor allem gegen ranghohe Beamte und Vorstände aus Israel und den USA richtete.

Check Point Research (CPR] nennt sehr sensible Ziele: der frühere israelische Außenminister und stellvertretende Ministerpräsident Tzipi Livni, ein frühere US-Botschafter in Isarel, der ehemalige Generalmajor der israelischen Armee (hatte eine sehr wichtige Position inne), ein Vorstand des führenden israelischen Sicherheit-Think-Tanks, ein früherer Vorstand eines im Mittleren Osten sehr bekannten Forschungszentrums, eine hochrangige Führungskraft in Israels Rüstungsindustrie.

Die Operation konnte auf den Dezember 2021 datiert werden, vermutlich läuft diese aber länger. Die Betrüger übernahmen das E-Mail-Konto eines häufigen Kontakts des jeweiligen Ziels . Sie klinken sich in eine laufende Konversation ein. Danach eröffnen die Hacker ein gefälschtes E-Mail-Konto dieses Kontakts, stets aufgebaut nach dem Format: max.mustermann.corp[at]gmail.com. Nun wird die aufgeschnappte Konversation über das falsche Postfach weitergeführt und erstreckt sich über einige Nachrichten. Manche der E-Mails enthalten einen Link zu einem echten Dokument, welche für das Ziel wichtig ist, wie die Einladung zu einer Konferenz, oder ein Forschungsbericht – oder den Link zu einer Phishing-Seite, wo Dokumente als Scans hochgeladen werden können. Die Indizien weisen auf die iranische ATP-Gruppe Phosphorus, die bekannt ist für hochwertige IT-Operationen sowie Kampagnen gegen israelische Offizielle und stets im Einklang mit den Interessen der iranischen Regierung arbeitet.

Die Angreifer versuchten, die Opfer in langwierige E-Mail-Korrespondenz zu locken, um personenbezogene Daten, Paß-Kopien und Zugangsdaten zu deren Postfächern zu stehlen.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research , erklärt: „Wir haben eine iranische Phishing-Infrastruktur aufgedeckt, die es vor allem auf israelische und US-amerikanische Führungskräfte der Politik und Behörden abgesehen hat, um deren personenbezogene Daten zu stehlen, Pässe zu kopieren und Zugang zu ihren E-Mail-Konten zu erlangen. Wir haben stichhaltige Beweise dafür, dass die Operation mindestens seit Dezember 2021 läuft, aber wir gehen davon aus, dass sie schon früher begonnen hat. Der raffinierteste Teil der Operation ist das Social Engineering. Die Angreifer verwenden echte gekaperte E-Mail-Nachrichten, geben sich als bekannte Kontakte der Zielpersonen aus und haben so spezifische Köder für jedes Ziel. Bei der Operation wird eine sehr gezielte Phishing-Kette eingesetzt, die speziell für jedes Ziel entwickelt wurde. Darüber hinaus ist so ein aggressiver E-Mail-Verkehr des Angreifers mit den Zielpersonen bei staatlichen IT-Angriffen nur selten zu beobachten. CPR wird diese Operation weiter beobachten.“