Spionage-Kampagne „Newscaster“ zielte auf diplomatische und militärische Informationen ab
Iranische Spione haben wohl über drei Jahre hinweg auf sehr geschickte Weise Journalisten, Diplomaten und Mitglieder der Verteidigungsbranche in die Irre geführt. Über eine Kombination aus Social Engineering und gefälschten Social Media Accounts gelangten sie so an E-Mail-Adressen, Netzwerk-Logins und andere sensible Informationen.
Dazu wurde sogar eine gefälschte Nachrichtenagentur erschaffen. Mit gefälschten Social Media Accounts, in denen sie sich als Journalisten ausgaben, knüpften sie Kontakte zu ihren Opfern in den USA, Israel und anderswo.
Mit mehreren Accounts bei Facebook, Twitter, LinkedIn, YouTube und Google+ verschafften sie ihren Fake-Identitäten Glaubwürdigkeit. Tiffany Jones von iSight dazu:
„Wir haben bisher noch keine derart komplexe, breit angelegte und andauernde Cyberspionage-Kampagne der Iraner entdeckt. Die rund ein Dutzend fiktiven Personen haben über die letzten Jahre ziemlich erfolgreich ein Netzwerk von tausenden Kontakten hergestellt. Letztendlich wurden diese Personen alle über ihre sozialen Netzwerke anvisiert.“
Die fiktive Nachrichtenagentur NewsOnAir.org gehörte dem fiktiven Medienmogul Joseph Nillson – sein Foto ist eines von Alexander McCall Smith, einem Buchautor. Auf der Seite finden sich Artikel, die ursprünglich von CNN und BBC stammen, nur eben dort mit anderen Autorennamen. Einmal veröffentlicht, werden die Artikel dann auf den Social Media Kanälen verbreitet, was wiederum der Glaubwürdigkeit dient.
Im Ziel der Kampagne standen Mitglieder des US-Militärs, des Kongresses und diverser Thinktanks, Journalisten, Mitglieder der Verteidigungsbranche und Lobbygruppen. Opfer finden sich neben den USA und Israel auch in Saudi-Arabien, Irak und Großbritannien.
Obwohl die genutzten Techniken selbst nicht sehr ausgefallen sind, ist er bemerkenswert, wie ausdauernd die Spione an der Kampagne gearbeitet haben. Die Sicherheitsforscher fanden mindestens 2.000 Kontakte, die die Angreifer über LinkedIn und andere soziale Netzwerke knüpften. Neben der Nutzung von Namen und Fotos realer Journalisten und B-Promis veröffentlichten sie auch „persönliche“ Posts. Eine der Fake-Personen postete zum Beispiel ein Foto ihres angeblichen Hundes, eine andere schreibt über Einsamkeit. John Hultquist von iSight:
„Auf Facebook haben sie sich gegenseitig Dad genannt, wenn sie dort etwas veröffentlichten.“
Nachdem sie ihre Opfer eingehend studiert hatten, sandten sie Links zu bösartigen Seiten, mit denen sie Login-Daten für E-Mail-Konten oder andere Netzwerke erhielten. Zwar weiß iSight bisher noch nicht, wie erfolgreich die Angreifer tatsächlich waren, doch gehen sie wegen der Dauer der Kampagne von deutlichen Erfolgen aus.
Artikel von darkreading.com, 29.05.2014: Iranian Cyberspies Pose as Journalists Online To Ensnare Their Targets
Artikel von wired.com, 29.05.2014: Iranian Spies Pose as Reporters to Target Lawmakers, Defense Contractors