Bei ihren Analysen der Advanced-Persistent-Threats-Aktivitäten (APT) im zweiten Quartal 2019 konnten die Kaspersky-Experten Schwerpunkte im Nahen Osten und in Südkorea ausmachen – sowohl was die Herkunft als auch die Ziele der Angriffe betrifft. Zahlreiche Aktivitäten konzentrierten sich auf Cyberspionage oder den Zugriff auf finanzielle Ressourcen. Mindestens eine Kampagne jedoch wollte offenbar gezielt Desinformationen streuen.

Im Mai 2019 untersuchte Kaspersky nach eigenen Angaben online geleakte, offensichtliche Cyberspionage-Assets einer iranischen Organisation und schloss aus der Analyse, dass hinter diesen Assets die Gruppe Hades stecken könnte. Diese war bereits im Zusammenhang mit ExPetr und dem Cyberangriff auf die Olympischen Winterspiele 2018 in Erscheinung getreten. Diese und weitere Trends aus der Welt fortschrittlicher Cyberattacken gehen aus dem aktuellen Kaspersky-APT-Quartalsbericht hervor.

Darin berichtet Kaspersky auch im zweiten Quartal 2019 über etliche interessante Aktivitäten im Nahen Osten. Dazu gehört eine Reihe gezielter Leaks von Assets (Code, Infrastruktur, Informationen über die APT-Gruppe und scheinbare Details zu den Opfern der Angriffe), die angeblich zwei bekannten persischsprachigen Bedrohungsakteuren zuzuordnen sind: OilRig und MuddyWater. Die einzelnen Leaks kamen aus verschiedenen Quellen und wurden mit nur wenigen Wochen Abstand veröffentlicht.

Das dritte Leak enthielt angeblich Informationen über die Organisation RANA Institute und erschien in persischer Sprache auf der Website Hidden Reality. Nach der Analyse des veröffentlichten Materials, der Infrastruktur und der genutzten Website kamen die Kaspersky-Experten zu dem Schluss, dass dieses Leak dem Bedrohungsakteur Hades zugeordnet werden kann. Dabei handelt es sich um die Gruppe hinter OlympicDestroyer, also jenem Vorfall, der sich während der Olympischen Winterspiele 2018 in Pyeongchang ereignet hatte. Hades steckt zudem hinter dem Wurm ExPetr und verschiedenen Desinformationskampagnen, wie jene des E-Mail-Leaks während des Wahlkampfs des jetzigen französischen Präsidenten Emmanuel Macron im Jahr 2017.

Weitere Ergebnisse:

  • Russischsprachige Gruppen entwickeln und veröffentlichen weiterhin konsequent neue Tools und starten neue Aktionen. So hat beispielsweise Zebrocy bereits seit März 2019 Ziele in Pakistan und Indien ins Visier genommen, darunter Veranstaltungen, Amtsträger, Diplomaten sowie Militärs, und ständige Zugänge zu lokalen und entfernten Netzwerken der Regierungen zentralasiatischer Staaten aufrechterhalten. Die Angriffe der Turla-Gruppe sind weiterhin durch ein sich rasch entwickelndes Tool-Set gekennzeichnet, sowie – in mindestens einem nennenswerten Fall – durch das Kapern der Infrastruktur von OilRig.
  • Die Aktivitäten mit Bezug auf Korea blieben hoch, während der Rest Südostasiens gegenüber den Vorquartalen ruhiger blieb. Erwähnenswert sind unter anderem ein Angriff der Lazarus-Gruppe auf einen südkoreanischen Mobile-Gaming-Hersteller sowie eine Kampagne von BlueNoroff – einer Untergruppe von Lazarus –, die sich gegen eine Bank in Bangladesch und gegen Kryptowährungssoftware richtete.
  • Die chinesischsprachige APT-Gruppe SixLittleMonkeys fuhr eine Kampagne gegen Regierungsstellen in Zentralasien und nutzte dafür neue Versionen des Trojaners Microcin sowie ein Remote Administration Tool (RAT) namens HawkEye, das Kaspersky bereits bekannt war.

„Das zweite Quartal 2019 macht deutlich, wie unklar und wirr die Bedrohungslandschaft inzwischen geworden ist. Oft sind die Dinge nicht so, wie sie scheinen“, erklärt Vicente Diaz, Principal Security Researcher im Global Research and Analysis Team bei Kaspersky. „Die Sicherheitsindustrie sieht sich daher der stetig wachsenden Aufgabe gegenüber, Licht in dieses trügerische Dunkel zu bringen und tatsächliche Fakten und Erkenntnisse über vorhandene Bedrohungen zu Tage zu fördern, von denen echte Cybersicherheit abhängt. Wie immer ist es wichtig anzumerken, dass auch unser Bild der Bedrohungslage nicht vollständig ist. Es wird immer Aktivitäten geben, die wir noch nicht entdeckt oder nicht vollkommen interpretiert haben. Daher bleibt für jeden der Schutz vor bekannten wie unbekannten Bedrohungen so elementar.“

Der vollständige APT-Q2-Report ist unter securelist.com/apt-trends-report-q2-2019/91897/ abrufbar. Weitere Informationen stehen unter den Links zur Verfügung securelist.com/apt-trends-report-q2-2019/91897/, securelist.com/olympic-destroyer-is-still-alive/86169/ und www.kaspersky.de/enterprise-security/cybersecurity-services.

Dr. Jörg Schröper ist Chefredakteur der LANline.