Iranische Hacktivisten verschieben Fokus in Richtung Spionage
Eine Gruppe iranischer Hacktivisten hat sich allem Anschein nach nun der Cyperspionage und gezielten Attacken zugewandt. Ursprünglich nutzte die Gruppe mit dem Namen Ajax Security Team (AST) die Schwachstellen von Webseiten aus, um dort dann pro-iranische Mitteilungen zu veröffentlichen. Auch auf Facebook war die Gruppe sehr aktiv.
Seit diesem Jahr hat sich die Gruppe in dieser Hinsicht allerdings eher zurückgehalten und scheint sich jetzt auf gezielte Spionageaktivitäten zu konzentrieren. Durch einige Fehler, die sie bei einer Aktion gegen Mitglieder der US-amerikanischen Verteidigungsbranche begingen, kam ihr CrowdStrike auf die Schliche. Bisher fehlen aber noch weitere Informationen.
Auch FireEye stellte Untersuchungen über AST an. Sie untersuchten die sogenannte „Operation Saffron Rose“, welche Spearphishing-E-Mails und gefälschte Microsoft Outlook Web Access und VPN-Seiten beinhaltete. Damit versuchten sie, an Zugriffsberechtigungen von Mitgliedern der Verteidigungsindustrie zu gelangen. Außerdem zielt die Gruppe auch auf iranische Dissidenten ab. Diese versuchen sie, mit echten Anti-Zensur-Instrumenten, die allerdings mit Malware versehen sind, zu locken.
Eine Wandlung, wie sie die AST-Gruppe vollzogen hat, ist weit verbreitet unter Gruppen dieser Art, so Adam Meyers von CrowdStrike:
„Durch die Hacktivist-Aktivitäten haben sie die Aufmerksamkeit der lokalen Regierung gewonnen, jetzt wurden sie für andere Dinge rekrutiert.“
Dabei begehen sie allerdings immer noch grundlegende Fehler. Die E-Mail, mit welcher eine der bösartigen Domains registriert wurde, heißt zwar info@usa.gov.us, vormals war diese Domain allerdings unter keyvan.ajaxtm@gmail.com registriert. Keyvan hatte bis zu diesem Jahr eine sehr aktive Präsenz auf Facebook, wie auch andere AST-Mitglieder. Inzwischen versuchen sie, weniger Aufmerksamkeit auf sich zu ziehen, was auch mit den neuen Aktivitäten zusammenhängt.
CrowdStrike fand außerdem heraus, dass AST den Diebstahl von Zugangsberechtigungen auch mit Malware verknüpft. Die Malware der Gruppe nennt sich Stealer und zweigt Daten zu einem FTP-Server ab. Über eine recht simple Phishing-Kampagne, bei der sich die Betroffenen auf einer gefälschten Internetseite einloggen, erhalten sie die Nutzerdaten. Häufig wird der Betroffene dann zu einer Seite weitergeleitet, wo er ein „Browser Patch“ herunterladen soll – so installiert er die Malware.
Es ist allerdings noch nicht klar, ob AST auch die Urheber der Software sind oder lediglich dazu genutzt werden, diese zu verbreiten.
Artikel von theregister.co.uk, 14.05.2014: Iranian hacktivists move into hardcore hacking against West, dissidents
Artikel von darkreading.com, 14.05.2014: On The Trail of An Iranian Hacking Operation