Tibet, Indien und Russland im Fokus
Unit 42, eine Forschungsabteilung von Palo Alto Networks, hat diverse Cyber-Attacken analysiert. Schlussfolgerung der Untersuchung: Die Angreifer und Platzierer der Hacker-Attacken hätten das Ziel gehabt, Informationen über Aktivisten zu sammeln, die sich für Minderheiten einsetzen. Unit 42 verpasste jener Hackergruppe den Namen „Scarlet Mimic“ und ist überzeugt, dass es sich hierbei um staatliche Institutionen handelt. Jene Angreifer würden immer professionellere Malware verwenden und Analysen zufolge wurden die Attacken auf mobile Endgeräte ausgeweitet.
Im besonderen Fokus von „Scarlet Mimic“ stehen tibetische und uigurische Aktivisten, bzw. Zielpersonen, die die Opposition gegen China unterstützen. Darüber hinaus gab es von dieser Gruppierung auch Cyber-Angriffe gegen staatliche Organisationen in Indien und Russland. Das Muster der Attacken soll dabei sehr ähnlich ausgesehen haben.
Fakes der Windows- und Yahoo! Messenger als Eintrittspforte
Technisch erfolgten die Angriffe über „FakeM“. Hierbei handelt es sich um einen Windows-Backdoor. Die Tarnkappe von „FakeM“ ist eine Nachahmung des normalen Datenverkehrs des Windows Messengers und Yahoo! Messengers. Zusätzlich schützt sich die Malware vor Enttarnung durch Sicherheits-Software. Des Weiteren existieren wohl auch bereits „FakeM“-Varianten, die es auf Android- und Mac-OS-X-Betriebssysteme abgesehen haben.
Gerne werden bei solchen Angriffen demzufolge typische Lockvogel-Dateien, wie zum Beispiel Hitler bzw. Anti-Putin-Bilder, verwendet. Im Gegensatz zu anderen Phishing-Attacken ist die betroffene Datei weiter voll funktionsfähig. Der Nutzer wird somit nicht stutzig und hinterfragt die Quelle nicht näher.
