Cyber-Spionage

Check Point warnt vor Spionage-Operation mit Spear-Phishing

Check Point warnt vor Spionage-Operation mit Spear-Phishing

Chinesischsprachige Hacker-Gruppe spioniert in Afghanistan, Kirgisistan und Usbekistan

Die Security-Experten von Check Point Research (CPR), der Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), haben eine laufende Spionage-Operation aufgedeckt, die auf die afghanische Regierung zielt.

Die Bedrohungsakteure, die einer chinesisch-sprachigen Gruppierung zugeordnet werden, gaben sich als das Büro des afghanischen Präsidenten aus, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren. Sie nutzten den Dienstleister für Datenaustausch namens Dropbox, um ihre Aktivitäten zu verschleiern. CPR geht davon aus, dass dies der jüngste Fall einer länger andauernden Operation ist, die bis ins Jahr 2014 zurückreicht und der auch die Regierungen von Kirgisistan und Usbekistan zum Opfer gefallen sind.

Im April 2021 erhielt ein Beamter des Nationalen Sicherheitsrats Afghanistans eine E-Mail, die angeblich vom Büro des Präsidenten von Afghanistan stammte. Sie forderte den Empfänger auf, die Änderungen in dem Dokument im Zusammenhang mit einer bevorstehenden Pressekonferenz des NSC zu überprüfen.

Infektionskette beginnt mit Täuschung

Die Spionage lässt sich in den folgenden Schritten zusammenfassen:

  1. Senden einer E-Mail unter dem Deckmantel einer hochrangigen Einrichtung der Regierung, in diesem Fall eines Ministeriums.
  2. Die Bedrohungsakteure fügen eine Archiv-Datei hinzu, die Malware enthält, aber vorgibt, ein legitimer Anhang zu sein. In diesem Fall enthielt die E-Mail ein durch ein Kennwort geschütztes RAR-Archiv mit dem Namen NSC Press conference.rar.
  3. Die extrahierte Datei, NSC Press conference.exe, fungiert als Malware-Dropper. Der Inhalt der Köder-E-Mail suggeriert, dass es sich bei der angehängten Datei um das gewünschte Dokument handelt. Um Zweifel beim Opfer zu zerstreuen, eine EXE-Datei auszuführen, statt einer erwarteten Word-Datei, wenden die Angreifer einen einfachen Trick an: Das erste sich auf dem Desktop des Nutzers befindende Dokument wird bei der Ausführung des Droppers durch die EXE-Datei automatisch geöffnet. Diese Tat fungiert als Blendwerk. Unabhängig davon, ob der Dropper überhaupt ein zu öffnendes Dokument auf dem Desktop gefunden hat oder nicht, wird eine Hintertür für die Spionage eingerichtet.
  4. Diese Hintertür kommuniziert mit einem konfigurierten und für jedes Opfer eigenen Ordner auf Dropbox. Dieser dient als Adresse, von der aus die Hintertür weitere Befehle abruft und wo sie die gestohlenen Informationen speichert.

Abbildung: Darstellung des Infektionswegs (Quelle Check Point Research 2021)

Die Bedrohungsakteure verwenden die Dropbox-API, um ihre bösartigen Aktivitäten zu maskieren, da keine Kommunikation mit auffälligen Webseiten stattfindet. Die von den Bedrohungsakteuren erstellte Backdoor erstellt einen eindeutigen Ordner für das Opfer in einem vom Angreifer kontrollierten Dropbox-Konto. Wenn die Bedrohungsakteure eine Datei oder einen Befehl an den Computer des Opfers senden müssen, legen sie diese oder diesen in dem Ordner mit dem Namen „d“ im Dropbox-Ordner des Opfers ab. Die Malware ruft diesen Ordner ab und lädt seinen gesamten Inhalt in den Arbeitsordner herunter. Die Backdoor sorgt für Persistenz, weil sie einen Registrierungsschlüssel setzt, der so konzipiert ist, dass er jedes Mal ausgeführt wird, wenn sich ein Benutzer anmeldet.

Lotem Finkelsteen, Head of Threat Intelligence bei Check Point Software Technologies

Lotem Finkelsteen, Head of Threat Intelligence bei Check Point Software fügt an: „Die Erkennung von Cyber-Spionage hat für uns weiterhin höchste Priorität. Dieses Mal haben wir eine laufende Spear-Phishing-Kampagne entdeckt, die auf die afghanische Regierung zielt. Wir haben Grund zu der Annahme, dass auch Usbekistan und Kirgisistan Opfer geworden sind und führen unsere Erkenntnisse auf einen chinesischsprachigen Bedrohungsakteur zurück. Bemerkenswert ist hier, wie die Hacker die Taktik der Täuschung von Ministerium zu Ministerium einsetzten. Diese Taktik ist bösartig und effektiv, wenn es darum geht, jemanden dazu zu bringen, irgendetwas unüberlegtes zu tun. Darüber hinaus ist es bemerkenswert, wie die Bedrohungsakteure Dropbox missbrauchen, um sich der Entdeckung zu entziehen. Es ist möglich, dass auch andere Länder ins Visier dieser Gruppierung geraten sind, obwohl wir nicht wissen, wie viele oder welche Länder. Daher geben wir in unserem technischen Blog-Beitrag eine Liste weiterer möglicher Domänen weiter, die bei dem Angriff verwendet wurden, in der Hoffnung, dass deren Namen von anderen Cyber-Forschern als Beitrag zu unseren eigenen Erkenntnissen genutzt werden können.“