Analyse eines Cyberangriffs
Überraschendes Ergebnis einer erfolgreichen Cyber-Angriffswelle
Reich werden oder sterben
In den vergangenen 4 Monaten wurden über 4.000 Organisationen weltweit Opfer von gezielten Cyber-Angriffen, die darauf abzielten die Netzwerke zu infizieren und Daten zu stehlen. Darunter befanden sich viele Unternehmen mit kritischen Infrastrukturen, vor allem aus den Branchen Öl & Gas, Finanz- und Bauwesen. Zu diesem Ergebnis kam das Research Team von Check Point .
Bei diesen Untersuchungen stach vor allem eine Kampagne hervor, die sehr erfolgreich gegen folgende Unternehmen war:
- Ein Marine- und Energieunternehmen in Kroatien
- Ein Transportunternehmen in Abu Dhabi
- Ein Bergbauunternehmen in Ägypten
- Ein Bauunternehmen in Dubai
- Eine Öl- und Gas Firma in Kuwait
- Eine Bauorganisation in Deutschland
Das Research Team hatte sich diese Angriffswelle genauer angesehen und ging zunächst von einer professionellen Cybercrime-Bande, oder von staatlich unterstützten Hackern, als Urheber aus.
Doch nach umfangreichen Recherchen zu dieser Kampagne mussten die Forscher überrascht feststellen, dass diese gewinnbringenden Angriffe nur von einer einzelnen Person gesteuert wurden. Der Angreifer war ein nigerianischer Staatsangehöriger, der allein arbeitete. Auf seinen Social Media Konten verbreitete er sein Motto: „Reich werden oder sterben“.
Bei seinen Angriffsversuchen verwendete er betrügerische E-Mails, deren angebliche Herkunft von dem weltweit zweitgrößten Ölproduzenten Saudi Aramco stammen sollten. Die in der Anlage verwendete Malware bestand aus NetWire, einem Remote Access Trojaner, der die volle Kontrolle über die infizierten Rechner übernahm und Hawkeye, ein Keylogger-Programm. Die Angriffe konzentrierten sich auf die Mitarbeiter der Finanzabteilungen in den Unternehmen. Konkretes Ziel war die Offenlegung der Bankdaten der Unternehmen.
Die Kampagne hatte zu 14 erfolgreichen Infektionen geführt, durch die der Angreifer Tausende von Dollar einnehmen konnte.
Primitiv, aber effektiv und erfolgreich
Besonders auffällig war dabei die einfache und veraltete Technik, gepaart mit geringen Cyber-Fähigkeiten, die solche Erfolge hervorbrachten. Die betrügerischen E-Mails waren grob und primitiv gemacht und drängten die Opfer zur Herausgabe der Bankinformationen. Die Angriffe wurden einfach von Freeware E-Mail-Adressen wie sale.cement_till_tw[at]yahoo.com und cciticarinternational[at]yahoo.com gestartet. Die Malware war alt und eigentlich schon lange bekannt und indiziert.
Einige der Unternehmen, die angegriffen wurden, sind Energie- und kritische Infrastrukturunternehmen. Warum war es so einfach, mit einer unkomplizierten Angriffstechnik, diese Unternehmen anzugreifen – Unternehmen, die Dienstleistungen erbringen, die für unseren Alltag entscheidend sein könnten? Es ist beunruhigend, dass der Angreifer es geschafft hat, die Verteidigung mehrerer großer Organisationen so zu verletzen, seine Malware weltweit zu verteilen und auch noch lange Zeit unter dem Radar zu bleiben.
Neben den finanziellen Verlusten, die sich für die angegriffenen Firmen ergaben, besteht aber eine weitaus größere Gefahr für die Zukunft. Durch die Remote Access Funktionalitäten des Trojaners und dem Keylogger, könnten die Unternehmen immer wieder ein lukratives Angriffsziel werden. Falls die Opfer es nicht schaffen die Schadsoftware und deren Fragmente vollständig von allen Rechnern und Netzwerke zu entfernen, laufen sie Gefahr weiterhin ausspioniert zu werden. Angaben über die Geschäfte der Gesellschaft, Vermögenswerte und geistiges Eigentum. Diese können einen Wert haben, der weit größer ist als die Tausende von Dollars, die durch den ersten Angriff verloren gingen. Was passiert, wenn Hacker den realen Wert dieser Vermögenswerte realisieren und sie ausschöpfen?
Wieder mal ein erschreckendes Beispiel dafür, wie extrem schwach immer noch viele wichtigen Firmen gegenüber potentiellen Cyber-Angriffen aufgestellt sind.
