beebright - stock.adobe.com
Pawn Storm: Das kann man aus gezielten Angriffen lernen
Kriminelle verwenden immer ausgefeiltere Methoden, um Unternehmen gezielt anzugreifen. Mit einigen bewährten Vorgehensweisen kann der Schutz vor diesen Attacken verbessert werden.
APT-Gruppen (Advanced Persistent Threat) stellen in der Cybersicherheit nach wie vor eher die Ausnahme als die Regel dar. Gleichzeitig gewinnen sie aber zunehmend an Relevanz. Zum einen, weil mit der steigenden Zahl der Opfer auch immer mehr Organisationen in ihr Visier geraten. Zum anderen aber auch, weil die von ihnen verwendeten Werkzeuge und Methoden immer häufiger auch von gewöhnlichen Cyberkriminellen genutzt werden.
Durch ihre konstante Präsenz zählt Pawn Storm (alias APT28) zu einer der aktivsten APT-Gruppen, wie ein aktueller Forschungsbericht erneut gezeigt hat.
Jahrelange Schlagzeilen
Die Anzahl der verschiedenen Namen, unter denen Pawn Storm bekannt ist, vermitteln einen Eindruck davon, wie berüchtigt die Organisation in Sicherheitskreisen ist. Die Gruppe, über die auch unter den Namen Sednit, Sofacy, Fancy Bear und Strontium berichtet wird, hat in den letzten Jahren mehrere große Organisationen angegriffen.
Die wohl bekanntesten Beispiele sind die CDU, das Wahlkampfteam des französischen Präsidenten Macron, die Anti-Doping-Agentur WADA und das Democratic National Committee (DNC) in den USA. Im Rahmen des Angriffs auf das DNC wurden hochsensible E-Mails der Demokratischen Partei veröffentlicht. Diese Aktion wurde von der damaligen Präsidentschaftskandidatin Hillary Clinton unter anderem für ihre gescheiterte Kandidatur im Jahr 2016 verantwortlich gemacht.
Trend Micro geht davon aus, dass die Gruppe seit ungefähr 15 Jahren aktiv ist und in dieser Zeit ein breites Repertoire an Werkzeugen und Techniken eingesetzt hat, um ihre Ziele zu erreichen. Dazu gehören beispielsweise der Einsatz von iOS-Spyware und Zero-Day-Exploits, OAuth-Missbrauch, Watering-Hole-Angriffe sowie Tabnabbing. Allerdings war im Jahr 2019 auch eine Veränderung hinsichtlich der eingesetzten Methoden zu beobachten: Weg von der frühzeitigen Verwendung von Malware hin zum Einsatz von Phishing und direktem Scannen auf anfällige Server.
Aufschlussreiche Beobachtungen
Ein Teil dieser Scans wurde weltweit auf E-Mail-Servern und Microsoft-Exchange-Autodiscover-Servern ausgeführt, wobei der TCP-Port 443 das Hauptziel war. Gefolgt wurde dabei einer bewährten Methodik: Anfällige Systeme werden ausfindig gemacht, um dann mittels Brute-Force-Methode die Zugangsdaten herauszufinden. So konnten die Hacker E-Mail-Daten exfiltrieren und sie zum Versenden neuer Wellen von bösartigen E-Mails einsetzen. Die Gruppe wurde ebenfalls dabei beobachtet, wie sie die TCP-Ports 445 und 1433 scannte, um anfällige Server zu finden, auf denen Microsoft-SQL-Server und Verzeichnisdienste liefen.
Ein zweiter wichtiger Pfeiler von Pawn Storms Aktivitäten im Jahr 2019 war das Phishing mittels zuvor kompromittierter Konten. Seitdem unsere Forscher die Gruppe beobachten, konnten wir Tausende von E-Mail-Samples sammeln. Dadurch war es uns möglich, ihre Vorgehensweise – sogenannte Tools, Tactics and Procedures (TTPs) – und deren Veränderung zu analysieren.
In diesem Zusammenhang wurde beobachtet, wie Pawn Storm die gehackten E-Mail-Konten von wichtigen Organisationen und Personen nutzte, um an die Daten ihrer Kontakte zu gelangen. Dabei handelte es sich hauptsächlich um Rüstungsunternehmen im Nahen Osten. Diese Vorgehensweise ist bei gezielten Angriffen nicht ungewöhnlich, da sie dazu dient, Phishing-Versuche als legitime E-Mails erscheinen zu lassen. In diesen speziellen Fällen führte der Angriff allerdings zu keinen nennenswerten Erfolgen.
In diesen und anderen Fällen nutzte die Gruppe einen kommerziellen VPN-Provider, um ihre Spuren zu verwischen. Anbieter von kostenlosen Web-Mails aus den USA, Russland und dem Iran wurden für diese Art von Spam-Angriffen missbraucht.
Lehrreiche Erkenntnisse aus den Angriffen
Aus den Beobachtungen lassen sich mehrere Rückschlüsse ziehen. Zunächst stellen E-Mails weiterhin den wichtigsten Angriffsvektor dar. So erfolgten über 90 Prozent der 52,3 Milliarden Bedrohungen, die Trend Micro im letzten Jahr blockierte, über E-Mails.
Auch Phishing bleibt eine wichtige Methode, sowohl für APT-Akteure als auch für reguläre, finanziell motivierte Hacker-Gruppen. Dabei sind Nachrichten, die von vertrauenswürdigen Kontakten stammen, besonders schwer als Phishing zu erkennen. Sie verdeutlichen, wie wichtig es ist, dass CISOs und Sicherheitsbeauftrage die richtigen Technologien und Schulungsprogramme einsetzten.
Zudem wurde deutlich, dass Pawn Storm eine große Bandbreite an Zielen in unterschiedlichen Branchen angreift. Dazu gehören bekannte Ziele der Gruppe wie Streitkräfte, Rüstungsunternehmen, Regierungen, Anwaltskanzleien, politische Parteien, Universitäten und Elektronikunternehmen. Allerdings wurden auch ungewöhnlichere Ziele, wie ein Lebensmittelhersteller, Chirurgen, Privatschulen in Frankreich und Großbritannien sowie ein Kindergarten in Deutschland, Opfer der Gruppe.
Noch ist es unklar, warum auch solche Einrichtungen ins Visier genommen wurden. Es macht aber deutlich, dass wirklich jede Organisation ein potentielles Ziel von APT-Gruppen ist.
So können sich Unternehmen schützen
Jedoch können sich Unternehmen und Behörden durch die Befolgung von einigen Best Practices auch vor gezielten Angriffen schützen. Dazu gehören regelmäßiges Patching der gesamten Infrastruktur – einschließlich virtueller Patches – insbesondere, wenn Systeme genutzt werden, für die kein Support mehr besteht. Das sollte mit einer regelmäßigen Überwachung durch Intrusion Detection und Prevention sowie Backups und Verschlüsselung der Daten im Ruhezustand einhergehen.
„Neben technischen Maßnahmen spielen auch organisatorische Aspekte eine Rolle, beispielsweise verbesserte Schulungsprogramme.
Richard Werner, Trend Micro
Zugangskontrollen sind ebenfalls von entscheidender Bedeutung. Durch die Durchsetzung des Least-Privilege-Prinzips und Zwei-Faktor-Authentifizierung für E-Mail-Konten, Netzwerkzugänge und ausgelagerte Dienste wird die Angriffsoberfläche reduziert.
Neben technischen Maßnahmen spielen auch organisatorische Aspekte eine Rolle, beispielsweise verbesserte Schulungsprogramme, um das Bewusstsein für Phishing-Techniken und gängige Angriffsvektoren zu schärfen und ein Verbot der Nutzung persönlicher Webmail- und Social-Media-Konten für betriebliche Zwecke.
Für Unternehmen mit geringeren Ressourcen können Managed-Detection-and-Response-Dienste einen Großteil der schweren Arbeit übernehmen, um Angriffe zu erkennen und zu blockieren. Durch die Verbesserung der IT-Hygiene können zumindest die beliebten, einfachen Angriffsmethoden schnell verhindert werden. So bleibt zumindest ein positiver Aspekt an Pawn Storm: Sie erinnern Organisationen an die Wichtigkeit von IT-Sicherheit.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
