MESOP WATCH : Neu gefundene iranische Cyberspionage könnte eine “echte Bedrohung” für Israel darstellen

Ein israelisches Cybersicherheitsunternehmen beschreibt, wie iranische Akteure eine Operation durchführen, um Informationen von Zielen in ganz Israel zu stehlen.Von ZEV STUB   OKTOBER 6, 2021 JERUSALEM POST

Iranische Bedrohungsakteure führen eine gezielte Cyberspionageoperation gegen globale Luft- und Raumfahrt- und Telekommunikationsunternehmen durch und stehlen sensible Informationen von Zielen in Israel und im Nahen Osten sowie in den Vereinigten Staaten, Russland und Europa, so ein am Mittwoch veröffentlichter Bericht des israelischen Cybersicherheitsunternehmens Cybereason.

Cybereason identifizierte den bisher unbekannten staatlichen Akteur namens MalKamak, der eine ausgeklügelte neue Form von Malware ausführte, die zuvor unbekannt war, während eines Incident Response Call für einen seiner Kunden, sagte Assaf Dahan, Leiter der Cyber-Bedrohungsforschungsgruppe bei Cybereason.

Die Kampagne läuft seit mindestens 2018 und hat es wahrscheinlich geschafft, große Datenmengen von sorgfältig ausgewählten Zielen zu sammeln, sagte Dahan.

 

“Die Untersuchung begann, nachdem das Incident Response Research Team von Cybereason hinzugezogen wurde, um eines der angegriffenen Unternehmen zu unterstützen”, sagte Dahan. “Während des Vorfalls und nach der Installation unserer Technologie auf den Computern des Unternehmens haben wir ausgeklügelte und neue Schäden identifiziert, die noch nicht gesehen oder dokumentiert wurden. Gründliche Ermittlungsarbeiten ergaben, dass dies nur ein Teil einer ganzen iranischen Geheimdienstkampagne ist, die in den letzten drei Jahren im Geheimen und unter dem Radar durchgeführt wurde. Aus den wenigen Spuren, die die Angreifer hinterlassen haben, geht hervor, dass sie sorgfältig gehandelt und ihre Opfer gründlich ausgewählt haben. Dabei handelt es sich um einen ausgeklügelten iranischen Angreifer, der professionell nach einer überlegten und kalkulierten Strategie gehandelt hat. Das potenzielle Risiko, das einer solchen Angriffskampagne innewohnt, ist groß und signifikant für den Staat Israel und kann eine echte Bedrohung darstellen.”

“Dies war eine sehr ausgeklügelte Operation, die alle Merkmale eines staatlich geförderten Angriffs auf sich hat”, sagte Dahan. “Während andere iranische Gruppen an zerstörerischeren Handlungen beteiligt sind, konzentriert sich diese auf das Sammeln von Informationen. Die Tatsache, dass sie drei Jahre lang unter dem Radar bleiben konnten, zeigt ihre Raffinesse. Wir gehen davon aus, dass sie im Laufe der Jahre große Datenmengen exfiltrieren konnten – Gigabyte oder sogar Terabyte. Wir wissen nicht, wie viele Opfer es vor 2018 gab.”

Betroffene Organisationen und relevante Sicherheitsbeamte seien von ihr über den Angriff informiert worden, aber das Ausmaß des tatsächlich verursachten Schadens sei noch nicht geklärt, sagte Cybereason.

Die Kampagne nutzt einen sehr ausgeklügelten und bisher unentdeckten Remote Access Trojaner (RAT) namens ShellClient, der Antiviren-Tools und andere Sicherheitsgeräte umgeht und den öffentlichen Cloud-Dienst Dropbox für Command and Control (C2) missbraucht, heißt es in dem Bericht. Die Autoren von ShellClient haben viel Mühe investiert, um es heimlich zu machen, sich der Erkennung durch Antivirus- und andere Sicherheitstools zu entziehen, indem sie mehrere Verschleierungstechniken nutzen und kürzlich einen Dropbox-Client für Command and Control (C2) implementiert haben, was die Erkennung sehr schwierig macht.

“Die Malware hat sich im Laufe der Jahre stark weiterentwickelt”, bemerkte Dahan. “Im Jahr 2018 war der Code sehr einfach, aber er ist sehr anspruchsvoll geworden. Anfang dieses Jahres gab die Gruppe ihre alte Serverinfrastruktur auf und ersetzte sie durch Dropbox-Dateihosting, eine einfache Möglichkeit, sie in Sichtweite zu verbergen. In den letzten Jahren sehen wir, dass immer mehr Cyber-Bedrohungsakteure verschiedene Cloud-Dienste wie Google Drive, Dropbox und Github missbrauchen, da sie die perfekte Tarnung bieten. Obwohl wir einmal wissen, wonach wir suchen, macht es es einfacher, andere Dinge aufzudecken.”

Mit dem ShellClient RAT setzte der Bedrohungsakteur auch zusätzliche Angriffswerkzeuge ein, um verschiedene Spionageaktivitäten in den Zielnetzwerken durchzuführen, einschließlich zusätzlicher Aufklärung, seitlicher Bewegung in der Umgebung sowie der Sammlung und Exfiltration sensibler Daten.

Die Bedrohung, die immer noch aktiv ist, wurde hauptsächlich in der Region des Nahen Ostens beobachtet, aber auch gegen Organisationen in den USA, Russland und Europa mit Schwerpunkt auf der Luft- und Raumfahrt- und Telekommunikationsindustrie.

Die Untersuchung deckt mögliche Verbindungen zu mehreren staatlich geförderten iranischen Bedrohungsakteuren auf, darunter Chafer APT (APT39) und Agrius APT, heißt es in dem Bericht. Dies folgt auf die Veröffentlichung des DeadRinger-Berichts von Cybereason im August, der in ähnlicher Weise mehrere chinesische APT-Kampagnen gegen Telekommunikationsanbieter aufdeckte.