Pawn Storm nimmt CDU ins Visier

13.05.2016

Originalbeitrag von Feike Hacquebord, Senior Threat Researcher

Im April 2015 hatte Pawn Storm mit Hilfe von Datastealer-Schadsoftware Computer des Deutschen Bundestags kompromittiert. Dies war der erste dokumentierte politische Angriff Pawn Storms gegen Deutschland. Ein Jahr später nun unternehmen die Hintermänner der Spionage-Operation einen erneuten Versuch.

Trend Micros Sicherheitsforscher entdeckten im April 2016, dass Pawn Storm einen neuen Angriff gegen die Regierungspartei CDU gestartet hatte. Die Attacke bestand aus mehreren anscheinend koordinierten Phishing-Angriffen gegen CDU- und andere hochkarätige Nutzer zweier deutscher Freemail-Anbieter.

In Lettland wurde ein gefälschter Webmail-Server der CDU für ausgeklügeltes Phishing von Zugangsdaten aufgesetzt. Etwa zur gleichen Zeit wurden drei Domänen für das Phishing von Zugangsdaten von prominenten Nutzern zweier deutscher Freemail-Provider erstellt. Diese Webmail-Phishing-Sites lagen auf Servern eines Virtual Private Server-Providers in den Niederlanden.

Die Pawn-Storm-Angreifer führen häufig breit angelegte, gleichzeitige Angriffe gegen Ziele mit unternehmenseigenen und persönlichen Mailkonten durch. Sie erstellen eine gefälschte Version des Unternehmens-Mailservers der anvisierten Organisation und greifen gleichzeitig Schlüsselfiguren der Organisation über ihre privaten kostenlosen Webmail-Konten an.

Phishing von Zugangsdaten stellt ein wichtiges Spionage-Tool dar. Pawn Storm hat in der Vergangenheit schon komplette Online-Mailboxen heruntergeladen und den künftigen Zugriff darauf sichergestellt, beispielsweise indem die Angreifer insgeheim Weiterleitungs-Mailadressen aufsetzten.

Die jüngsten Pawn-Storm-Angriffe laufen immer nach demselben Schema ab: Organisationen werden von verschiedenen Seiten her gleichzeitig angegriffen. Dies konnten die Sicherheitsforscher immer wieder bei Attacken gegen Regierungsbehörden, Militär, Unternehmen aus der Verteidigungsbranche und gegen Medien beobachten. Trend Micro berichtete bereits im März über Pawn-Storm-Angriffe von mehreren Seiten auf die türkische Regierung. Alle diese Vorfälle bestätigen die Theorie bezüglich der Identität der Angreifer, denn die Opfer sind immer Gruppen, die als Risiko für russische Interessen und Politik gelten können.

Pawn Storm ist eine der ältesten aktiven Spionagegruppen (seit 2004 aktiv). Im Rahmen des Monitorings der jüngsten Aktivitäten konnten die Sicherheitsforscher mehr als ein Dutzend X-Agent Command-and-Control-Server zählen. X-Agent ist eine nachgelagerte Schadsoftware, welche Pawn Storm nur gegen wichtige Ziele von besonderem Interesse einsetzt. Auch dies ist ein weiteres starkes Indiz für die hohe Aktivität von Pawn Storm.