+43 699 / 18199463
office@itexperst.at
Fox Kitten: ClearSky Bericht über iranische Hacker

Fox Kitten: ClearSky Bericht über iranische Hacker

Seit ein paar Jahren ist bekannt, dass das theokratische Regime im Iran weit mehr Ziele hat, als nur das Leben seiner Bürger mit religiösen Lebensweisheiten und Einschränkungen zu regulieren. Hauptsächlich wird der Iran als außenpolitisch isoliert, mit einer ganzen Reihe von erklärten Erzfeinden, Menschenrechtsverletzungen und einem unbehaglichen Atomprogramm gesehen. In einer Sache kann er aber mit den Größen der Welt mithalten: Er unterhält im Hintergrund ein ganzes Arsenal an Staatshackern.

Hinter China, Russland und Nordkorea, stehen die Iraner zwar nicht im Rampenlicht. Ihre Hacker haben in den letzten zehn Jahren international aber viel Schaden angerichtet. Die meisten Angriffe nehmen ihren Erzfeind, die USA, ins Visier. Ihre Ziele sind hauptsächlich Unternehmen in den Bereichen IT, Telekommunikation, Luftfahrt, Öl und Gas, Sicherheitsfirmen und Regierungsbehörden. Sicherheitsforscher von ClearSky haben vor Kurzem einen Bericht über ihre Aktivitäten veröffentlicht, der so manchem die Augen öffnen dürfte.

Typische Angriffsmethoden der iranischen Hacker

Der am 16. Februar dieses Jahres veröffentlichte Bericht, enthüllt nun: Die von der iranischen Regierung unterstützten Hacker-Gruppen sind gut organisiert und haben sich klare Ziele gesetzt. Eine Analyse ihrer im letzten Jahr durchgeführten Kampagnen zeigt, dass sie sich schwerpunktmäßig auf die Ausnutzung von VPN-Fehler konzentrieren. Wobei ihre Vorgehensweise, wie es nun erscheint, sich deutlich von denen anderer internationaler Hacker unterscheidet. Sie nutzen sogenannte One-day-Exploits aus, um Backdoors in Netzwerken zu installieren.

Zur Erklärung: Zero-Day-Exploits sind noch nicht bekannte Schwachstelle. One-Day-Exploits sind eben erst bekannt gegeben worden, also sozusagen einen Tag alt.

Sind Irans Hacker deswegen weniger talentiert als andere Staatshacker? Wohl nicht, zumindest laut dem Bericht. Man könnte eher sagen, dass sie es dadurch schaffen, ihre Möglichkeiten kostengünstig auszunutzen. Zudem verlassen sie sich darauf, dass viele ihrer potenziellen Opfer die Sicherheitslücken nur mit Verzögerung schließen. Laut dem ClearSky Bericht hätten

„iranische APT-Gruppen gute technische Offensivfähigkeiten entwickelt und seien in der Lage sind, One-Day-Exploits in relativ kurzer Zeit auszunutzen“.

Die Forscher konnten feststellen, dass sie oft bereits innerhalb von Stunden nach deren Bekanntgabe, die VPN-Schwachstellen mit Erfolg ausgenutzt hätten. Diese Taktik hat im letzten Jahr womöglich zu ihren erfolgreichen Angriffen gegen die VPN-Server, die Firmen wie Pulse Secure, Palo Alto Networks, Fortinet und Citrix herstellen und verkaufen, geführt.

Eine andere Technik, die sie verwenden, ist über eine Backdoor der Windows-Einstellung Sticky Keys. Die Nutzung dieses Features erleichtert regulären Nutzern bei Bedarf die Bedienung ihrer Rechner. Kombinationen von Tasten müssen dadurch nicht gleichzeitig, sondern einfach nacheinander gedrückt werden. Die Aktivierung der Sticky Keys in der Systemsteuerung ermöglicht Hackern allerdings einen Zugang ins System. Einmal drin, ersetzen sie Systemdateien wie zum Beispiel narrator.exe, magnify.exe, displayswitch.exe oder ähnliche, durch Programme wie cmd.exe oder powershell.exe. Der Angriff kann dann mit der Hilfe von weiteren bösartigen Tools seinen Lauf nehmen.

Die iranischen Hacker setzen laut dem ClearSky Bericht auch Open Source Hacking Tools ein. Beliebt sind JuicyPotato und Invoke the Hash. In ihrer Toolbox befindet sich aber auch legitime Sysadmin-Software wie Putty, Plink, Ngrok, Serveo oder FRP. Falls das alles nicht ausreicht für ihre Angriffe, sind sie durchaus in der Lage, ihre eigene Malware zu entwickeln. Der Bericht von ClearSky listet beispielhaft einige ihrer bekannten Schadprogramme auf:

  • STSRCheck – Datenbanken und Mapping-Tool für offene Ports
  • POWSSHNET – Backdoor Malware für RDP-over-SSH-Tunneling
  • Benutzerdefinierte VBScripts – um Herunterladen von TXT-Dateien vom C&C-Server und zum Vereinheitlichen dieser Dateien zu einer portablen ausführbaren Datei
  • Socket-basierte Hintertür über cs.exe – eine exe-Datei, die zum Öffnen einer Socket-basierten Verbindung zu einer hartcodierten IP-Adresse verwendet wird
  • Port.exe – ein Tool zum Scannen von Ports einer IP-Adresse

So sind die Staatshacker der Iranischen Mullahs organisiert

Aus dem Iran kommen sowohl einzelne Hacker bzw. kleinere Gruppen, als auch große Hackerteams, die international Schaden anrichten. Als Beispiel kann der Trojaner-Angriff auf die Stadtverwaltung von Atlanta genannt werden. Dahinter steckten aber lediglich zwei Iraner, die unabhängig von einem Staatsauftrag angriffen.

Der Iran ist was Cyber-Aktivitäten angeht international schon lange sehr aktiv. Schon 2013 lag seine Cyber-Armee auf Platz vier im internationalen Vergleich. Da ist es nicht verwunderlich, dass sie sich auch große Ziele aussuchen können. Experten sehen mit Besorgnis, dass die iranischen Cyberangriffe immer aggressiver werden. Dies war insbesondere zu Beobachten nach dem Tod ihres Generals Soleimani.

Den Sicherheitsforschern in aller Welt sind verschiedene iranischer Hacker bekannt. Sie werden als APT-Gruppen bezeichnet. Die Abkürzung steht für „Advanced Persistent Threats“ (fortgeschrittene, anhaltende Bedrohung). Der Begriff wird für Hacker verwendet, die im Staatsauftrag agieren oder entsprechend staatlich unterstützt bzw. finanziert werden. Drei der bekannten Hackergruppen sind APT 33, auch bekannt unter Elfin Team, Refined Kitten, Magnallium oder Molmium. APT34 wird auch Helix oder Helix Kitten genannt und APT39 als Chafer. Alle Gruppen verwenden komplexe Techniken und ausgeklügelte Software.

Aus dem ClearSky Bericht geht nun hervor, dass sich diese Gruppen neuerdings zusammentun und als Einheit handeln. Dies sei insbesondere bei den Angriffen gegen die VPN-Server zu beobachten.

Cyberspionage-Kampagnen der Hackergruppe Fox Kitten

Die Experten bei ClearSky nennen die iranische Kampagne Fox Kitten. Obwohl die Aktivitäten erst in den letzten Monaten des vergangenen Jahres an Häufigkeit zugenommen haben, sind sie eigentlich schon seit drei Jahren in vollem Gange. Die Forscher der IT-Firma Dragos hatten diese Angriffe ebenfalls schon entdeckt und sie Parisite genannt. Hinter Parisite soll aber nur APT34 stecken. Bei ClearSky gehen die Forscher davon aus, dass alle drei iranische APT-Gruppen hinter Fox Kitten stecken. Sie konnten nachweisen, dass zumindest APT34 und APT33 schon seit drei Jahren zusammenarbeiten.

Laut dem Bericht war Fox Kitten dazu zusammengestellt worden, um Zugänge in bestimmte Ziele zu entwickeln. Sich dann dauerhaft darin einzunisten, Informationen abzusaugen und weitere Opfer innerhalb der Lieferketten anzugreifen. Das alles, unter Nutzung der vorgenannten Schadprogramme.

Die ClearSky Forscher fassen im Bericht die Fox Kitten Aktivitäten wie folgt zusammen:

  • Den iranischen APT-Gruppen sei es in den vergangenen drei Jahren gelungen, in Dutzende von Unternehmen auf der ganzen Welt einzudringen und Informationen zu stehlen.
  • Die Ausnutzung bekannter Schwachstellen in Systemen mit ungepatchten VPN- und RDP-Diensten sei am häufigsten zu beobachten. Die iranischen APT-Gruppen waren damit äußerst erfolgreich.
  • Auch andere Cyberkriminelle, darunter auch fremde APT-Gruppen, nutzen die iranischen Ansätze für Lösegeldangriffe.
  • Diese Angriffsart wird 2020 wohl vornehmlich zu beobachten sein.
  • Die iranischen APT-Gruppen hätten gute technische Offensivfähigkeiten entwickelt. Insbesondere würde sie One-Day-Exploits kurzfristig auszunutzen.
  • Bereits seit 2017 würden iranischen APT-Gruppen sich auf IT-Unternehmen konzentrieren. Insbesondere solche, die einen interessanten Kundenkreis hätten.
  • Die gemeinsame Nutzung von Angriffsinfrastrukturen der iranischen APT-Gruppen wird als sehr wahrscheinlich eingeschätzt.
  • Die Angriffstaktik der Iraner ist auf Geduld aufgebaut. Die kurzfristige Ausnutzung von Exploits, ist war gegeben, allerdings ziehen sich die Kampagnen dann zum Teil monatelang hin bis zum endgültigen Zuschlagen.

Bericht von Fox Kitten, 14.02.2020: Fox Kitten – Widespread Iranian Espionage-Offensive Campaign
Artikel von zdnet.com, 16.02.2020: Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

 

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen