Offenbar iranischer Hackerangriff auf Deutschland und Israel

(Bild: Shutterstock)

Unter dem Namen "Rocket Kitten" operiert eine Gruppe Cyberkrimineller, die von der iranischen Regierung gesponsert werden soll. Trend Micro deckte einen Hackerangriff auf, hinter dem wohl die genannte Gruppe steckt. Das Ziel der "Woolen-Goldfish" genannten Operation waren Behörden in Deutschland, akademische Einrichtungen in Israel sowie europäische Organisationen und Unternehmen.

Allen Opfer sei laut dem Sicherheitsunternehmen Trend Micro gemein, dass sie sich „in der einen oder anderen Weise mit Iran beschäftigen“. Vermutlich verfügen sie über Informationen, an der auch die Regierung des Iran interessiert ist. Darüber hinaus behauptet Trend Micro, ein Mitglied der Hackergruppe enttarnt zu haben. Bei dem den Angriff leitenden „Wool3n.H4t“ handelt es sich offenbar um Mehdi Madavi.

Die Hacker sollen ihre Ziele mit speziell präparierten Spear-Phishing-E-Mails dazu verleitet haben, Spionagesoftware zu installieren. Dafür nahmen sie unter anderem die Identität eines israelischen Ingenieurs und einer bekannten Persönlichkeit aus dem israelischen Verteidigungssektor an. Ein Klick auf einen in der E-Mail enthaltenen Link war laut Trend Micro ausreichend, um einen Rechner zu infizieren. Anschließend zeichnete ein Keylogger alle Tastatureingaben auf und sendete die Informationen an einen Befehlsserver in Deutschland.

rocket-kitten

Die Hackergruppe Rocket Kitten ist nicht nur für die Operation Woolen-Goldfish, sondern auch für die Malware Ghole verantwortlich (Bild: Trend Micro).

Die Malware selbst, die Trend Micro “Tspy_Woolerg.A” nennt, sei “ganz neu” und wahrscheinlich von einem Mitglied der Hackergruppe entwickelt worden. Trend Micro beschreibt sie als eine in einer Archivdatei enthaltene ausführbare Datei, die sich als PowerPoint-Dokument tarnt.

“Die Angriffsmethode ist nicht neu und die Spionagesoftware ist auch nicht von außergewöhnlicher Qualität. Das tut dem Erfolg der Attacke allerdings keinen Abbruch, schließlich wurden zahlreiche Ziele infiltriert”, erklärte Udo Schneider, Pressesprecher von Trend Micro. “Selbst geschulte Anwender und Geheimnisträger dürften hin und wieder der Versuchung erliegen, eine E-Mail zu öffnen, die vermeintlich von einem legitimen Absender stammt. Voraussetzung ist nur, dass der Inhalt stimmt. Und dies scheint bei Woolen-Goldfish der Fall zu sein. Die Vermutung liegt nahe, dass sowohl Wool3n.H4t als auch seine Auftraggeber aus dem Iran kommen.”

Trend Micro macht Rocket Kitten auch für eine frühere Kampagne mit ähnlichen Zielen verantwortlich. Dabei wurde die Schadsoftware Ghole eingeschleust, die allerdings mehr Nutzerinteraktion voraussetzt als die neue für Woolen-Goldfish verwendete Malware. Auch hier versteckten die Angreifer ihre Spionagesoftware in einem MicrosoftOffice-Dokument.

Tipp: Kennst du die Geschichte der Computerviren? Überprüfe dein Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Bild: ShutterstockVia:Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising