zurück zum Artikel

Derzeit sollen gehäuft Betrüger-Mails mit Schadcode an deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung adressiert sein.

Das Bundesamt für Verfassungsschutz (BfV) warnt gegenwärtig vor einer Phishing-Mail-Welle. Im Visier der Angreifer sollen sich hierzulande Medienunternehmen und Organisationen, die im Bereich der Chemiewaffenforschung tätig sind, befinden. Die Angriffe sollen seit August 2017 bis heute im Gange sein.

In einem Bericht [1] ist die Rede von "hochwertigen Spear-Phishing-Mails". Dabei handelt es sich um maßgeschneiderte Betrüger-Mails, die sich direkt an bestimmte Firmen und Personen richten. Die Formulierung derartiger Mails ist darauf ausgelegt, so überzeugend wie möglich auszufallen, sodass Opfer der Mail Glauben schenken.

Das BfV vermutet, dass Spionage das Ziel der Angriffe ist. Die Sabotage von IT-Systemen sei aber auch vorstellbar.

Gefährliche Word-Dokumente

Im Anhang befindet sich dem BfV zufolge ein mit Makros präpariertes Word-Dokument. Öffnet ein Opfer dieses, sollen die Makros Schadcode nachladen. Letztlich seien die Angreifer in der Lage, auf kompromittierten Computern beliebige PowerShell-Befehle auszuführen.

Admins von Organisationen und Unternehmen, die im Bereich der Chemiewaffenforschung arbeiten, sollten ihre E-Mail-Server auf die bereits identifizierten Dokumente "E-Mail-Adressliste_2018.doc" und ""Wichtig! Neue Anforderungen an die Informationssicherheit. Konten bearbeite.doc" scannen und diese umgehend löschen.

AV-Software schlägt kaum Alarm

Im Bericht das BfV ist in einem Scan-Ergebnis der Analyse-Plattform Virustotal zu sehen, dass bislang nur ein Bruchteil der Anti-Viren-Scanner die Datei erkennt. Zur weiteren Analyse können Admins auch Logdateien auf im Bericht stehende IP-Adressen von C2-Servern scannen.

Hat ein Mitarbeiter eine Datei bereits geöffnet, sollten Admins auf betroffenen Computern Ausschau nach dem PowerShell-Agent Empire halten, den die Angreifer einsetzen.

Wer steckt dahinter?

Der Verfassungsschutz vermutet hinter den Angriffen die nachrichtendienstliche Gruppierung Sandworm. Die APT-Gruppe (Advanced Persistent Threat) ist auch unter den Namen BlackEnergy und Quedagh bekannt. So soll seit mindestens 2013 aktiv sein. Unter anderem die NATO soll zu den Zielen der Gruppe gezählt haben. Die derzeitige Kenntnislage legt nahe, dass Sandworm auch für die Stromausfälle in der Ukraine Ende 2016 [2] verantwortlich ist. Das BfV hält die APT-Gruppe derzeit für eine der gefährlichsten weltweit.

Bereits im Juni warnte Kaspersky [3] vor Angriffen auf europäische Einrichtungen zur chemischen und biologischen Gefahrenabwehr. Dabei erwähnten sie die Malware Olympic Destroyer, die bei den Olympischen Spielen in Pyeongchang für Schlagzeilen [4] sorgte. Diese ist jedoch bewusst irreführend programmiert, sodass eine Attribuierung äußerst schwer fällt. (des [5])

URL dieses Artikels:
https://www.heise.de/-4109407

Links in diesem Artikel:
[1] https://www.verfassungsschutz.de/embed/broschuere-2018-07-bfv-cyber-brief-2018-02.pdf
[2] https://www.heise.de/news/Stromausfall-in-der-Ukraine-augenscheinlich-durch-Hacker-ausgeloest-3063343.html
[3] https://www.heise.de/news/Malware-Olympic-Destroyer-ist-zurueck-und-zielt-auch-auf-Deutschland-4086654.html
[4] https://www.heise.de/news/Olympic-Destroyer-Hackerangriff-auf-die-Olympischen-Spiele-lief-unter-falscher-Flagge-3989288.html
[5] mailto:des@heise.de

Copyright © 2018 Heise Medien