Jena, 18. Mai 2016 – Der europäische Security-Software-Hersteller ESET veröffentlicht exklusive Forschungsergebnisse, die gezielte Cyber-Attacken auf regierungsfeindliche Separatisten in der Ukraine aufdecken. Durch Angriffe auf Computersysteme von regierungskritischen Aufständischen in der Ostukraine um die Städte Donetsk und Luhansk, spionieren die Angreifer sensible Informationen aus, was auf eine politische Motivation deutet. Auffällig ist, dass die ersten Samples der verwendeten Malware auf das Jahr 2008 zurückgehen – mit einem exponentiellen Anstieg 2014 und 2015 – den Jahren, in denen sich die Ukraine-Krise zuspitzte.
Maßgeschneiderte E-Mails als Angriffsvektor
Die Infektion der Computersysteme erfolgt über ein infiziertes Word-Dokument, das vorgibt, wichtige und lesenswerte Daten rund um den Konflikt in der Ostukraine zu enthalten.
Anton Cherepanov, Malware Researcher bei ESET, sagt dazu: „Im Rahmen unserer Analyse stellten sich maßgeschneiderte E-Mail-Attacken als bevorzugten Angriffsvektor heraus. Diese so genannten ‚Spear-Phishing-Mails‘ enthielten stets eine eindeutige Kampagnen-ID und provozierten mit einem reizvollen Dateinamen mit Bezug auf den Krieg im Donezbecken, ukrainisch ‚Donbas‘ genannt, das Öffnen des Anhangs.“
Nach Ausführung durch den Empfänger der E-Mail, installiert die modulare Schadsoftware den Trojaner Win32/Prikormka, der die heimtückischen Spionagemodule nachlädt. Statt Informationen zur Ukraine-Krise zeigen sich dem Betrachter im Word-Dokument daraufhin Preise von Grundfutter für Angler (englisch „groundbait“ und russisch „Prikormka“) – aus diesem Grund wurde die Aktion von den ESET Forschern zur „Operation Groundbait“ getauft.
Abbildung 1: Preise für Angler-Grundfutter sorgten zeitweise für Verwirrung bei den Opfern
Im Hintergrund beginnt die Malware unbemerkt damit, sensible Informationen des Computersystems zu sammeln und auf dedizierte Internet-Server zu laden. Wie die ESET Analysen zeigen, sind die Standorte dieser datensammelnden Server in der ukrainischen Metropole Kiew sowie der im Süden des Landes gelegenen Stadt Mariupol angesiedelt. Wie eingangs erwähnt, konzentrieren sich die Infektionsraten auf die Städte Donetsk und Luhansk, dies zeigen Daten der ESET LiveGrid-Telemetrie.
Abbildung 2: Vierstufiges Infektionsschema von Win32/Prikormka
Politische Intention naheliegend
Obwohl die Betreiber der Serversysteme schwer ausfindig zu machen sind, drängt sich auf Grund der regionalen Konzentration der Infektionen die Vermutung auf, dass es sich um eine politisch motivierte Cyber-Spionageattacke handelt: „Eine genaue und konkrete Bestimmung der Drahtzieher der Spionageaktion ist schwierig und spekulativ. Hauptsächlich werden ostukrainische Separatisten im Rahmen der Aktion ausgespäht, aber auch ukrainische Regierungsbeamte, Politiker und Journalisten sind unter den Opfern. Dies erschwert die einwandfreie Bestimmung der Angreifer. Hierzu sei angemerkt, dass stets auch falsch definierte Ziele irrtümlich in das Kreuzfeuer geraten können“, so ESET Senior Malware Researcher Robert Lipovský.
Abbildung 3: Auch das Minsker Abkommen wurde zu Phishing-Zwecken missbraucht
Die Forschungsergebnisse machen deutlich, dass der Konflikt in der Ukraine auch im digitalen Raum ausgetragen wird. Schon im Januar zeigten Analysen von ESET, dass ein Stromausfall in der Ukraine um Weihnachten 2015 durch eine gezielte Cyber-Attacke ausgelöst wurde („Stromnetz in der Ukraine durch Hacker lahmgelegt“: Artikel im ESET Security-Blog WeLiveSecurity von Januar 2016).
Diese neuen Dimensionen der digitalen Kriegsführung machen Sicherheitsvorkehrungen notwendiger denn je. Cyber-Attacken sind fester Bestandteil der hybriden Kriegsführung und werden in der Regel mit denselben Verschleierungstaktiken ausgeführt wie Bodenangriffe. Mit keinem logischen Muster wird es schwieriger den Angreifer zu identifizieren und seine Intention zu deuten. Um bestehende Strukturen vor Cyber-Attacken zu schützen, kommt auch immer häufiger das Militär zum Einsatz. So verfügt das französische Militär über eine eigene Cyber-Einheit und auch die deutsche Bundeswehr sucht verstärkt IT-Soldaten. Womöglich der Aufbruch in ein neues Kriegs-Zeitalter?
Eine detaillierte technische Analyse von Win32/Prikormka hat ESET in einem Whitepaper zusammengefasst, das auf dem Security-Blog WeLiveSecurity kostenlos zum Download zur Verfügung steht. Darin finden sich neben Fakten und Daten um die Spähkampagne auch weitere Exemplare entsprechender Spear-Phishing-Mails.