Gruppe erfahrener Angreifer
Die Mitglieder der Sednit-Gruppe, deren andere Pseudonyme APT 28, Fancy Bear, Pawn Storm oder Sofacy lauten, sind sehr erfahren. Seit mindestens 2004 ist diese Organisation in kriminelle Aktivitäten involviert und hat ausgefeilte Angriffsmethoden geschaffen, um typische Netzwerksicherheiten von kompromittierten Unternehmen zu umgehen, informierte ausführlich welivesecurity.com.
ESET-Forscher haben die Aktivitäten der Sednit-Gruppe in den vergangenen zwei Jahren aktiv untersucht. Nun veröffentlichen sie ihre ausführlichen Ergebnisse in drei separaten Paper in diesem Monat.
„Unterwegs mit Sednit: Annäherung an das Ziel“
„Unterwegs mit Sednit: Annäherung an das Ziel“ ist der erste Teil des Untersuchungsberichts benannt. ESETs Sicherheitsforscher beschrieben darin ausführlich die typischen Angriffsziele von Sednit und die üblichen Methoden, Zeile zu kompromittieren.
Darin heißt es:
Hochkarätige öffentliche Angriffsziele waren zuletzt das US Democratic National Committee (DNC), das deutsche Parlament und der französische TV-Sender TV5 Monde. Auch die umfassende Datenpanne bei der WADA geht auf die Kappe von Sednit. Die Opfer der Hackergruppe sitzen jedoch nicht nur in Organisationen. ESET hat auch Angriffe auf osteuropäische Politiker, inklusive ukrainischer Führungsriege, NATO-Offizielle und russische Dissidenten aufgedeckt.
Webmail-Anmeldeinformationen geklaut
Eine gängige Technik bei Angriffen der Sednit-Gruppe ist das Stehlen von Webmail-Anmeldeinformationen. Phishing-Mails werden an potenzielle Opfer gesendet. Diese enthalten gefälschte Links zu Seiten auf denen Username und Passwort eingegeben werden sollen.
Die E-Mails nutzen Social Engineering Techniken, um die User auszutricksen. Die Hacker erzeugen Druck auf ihre Opfer, sodass meistens umgehend auf die Mails reagiert werden. Die Angreifer setzen darauf, dass die User ohne groß nachzudenken, auf den Phishing-Link klicken.
ESETs Analysen haben ergeben, dass mindestens 1.888 einzigartige Mail-Adressen gezielt für einen Angriff ausgesucht wurden. Das Ganze erstreckte sich über einen Zeitraum vom 16.3. bis 14.9. 2015 – Meistens waren Montage oder Freitage diejenigen Wochentage, an denen Angriffe gestartet wurden.
Schädliche E-Mails
Die Sednit-Hacker scheuen sich nicht davor, E-Mails als Angriffsvektor zu gebrauchen. Dabei benutzen sie entweder kompromittierende Links oder schädliche E-Mail-Anhänge. Beim Letzteren nutzt die Gruppe offene Sicherheitslücken von Microsoft Word, Microsoft Excel, Adobe Flash und Adobe Reader aus.
Wer wird attackiert?
Die meisten Ziele, die durch ESETs Forscher entdeckt wurden, waren Gmail-Adressen. Viele gehören zu Individuen, aber auch einige Organisationen tauchen in der Liste auf:
Botschaften von Algerien, Brasilien, Kolumbien, Dschibuti, Indien, Irak, Nord-Korea, Kirgisistan, Libanon, Myanmar, Pakistan, Süd-Afrika, Turkmenistan, Vereinigte Arabische Emirate, Usbekistan und Sambia.
Verteidigungsministerien von Argentinien, Bangladesch, Süd-Korea und Ukraine
Außerdem sind Einzelziele involviert, wie politische Abgeordnete oder der polizeiliche Leiter der Ukraine, Mitglieder von NATO-Institutionen, Angehörige der Volksfreiheitspartei, russische politische Dissidenten, Shaltay Boltay – eine anonyme russische Hackergruppe, die dafür bekannt ist, E-Mails russischer Abgeordneter zu veröffentlichen –, diverse Journalisten in Westeuropa, Akademiker russischer Universitäten und tschetschenische Organisationen.
Die Verwendung von Zero-Day-Schwachstellen
Die Sednit-Gang benutzt brandneue Zero-Day-Schwachstellen. Das steigert ihre Chancen auf eine erfolgreiche Kompromittierung des Computers des Opfers, ohne dass der User selbst viel dazu beitragen müsste.
Ein ESET-Forschungsbericht aus dem Jahr 2015 zeigt, dass die Sednit-Gruppe nicht weniger als sechs Zero-Day-Lücken in Windows, Adobe Flash und Java ausnutzte.
Weiterführende Links:
Sednit greift isolierte Computer an
Paper I: „En Route with Sednit: Approaching the Target”
welivesecurity.com: Neues ESET Paper nimmt russische Hackergruppe Sednit unter die Lupe
