Die dem Iran zugrechnete Hackergruppe BladedFeline zielt auf strategische Ziele im Irak und in Kurdistan. Dabei hat sie besonders diePCs und deren Daten von hochrangigen kurdischen und irakischen Beamter im Fokus. Klassische Cyberspionage.
Regierungsbeamte gehören zu den lukrativsten Zielen von Cyberkriminellen. Ein erfolgreicher Angriff liefert mitunter wertvolle Informationen, die unter Umständen nur für die höchsten Stellen eines Landes gedacht waren. Einen besonders perfiden Fall haben nun Forscher des europäischen IT-Sicherheitsherstellers ESET aufgedeckt. Cyberkriminelle der Gruppe „BladedFeline“ konnten mit einer erfolgreichen Spionagekampagne zahlreiche Computer hochrangiger kurdischer und irakischer Beamter hacken. Ihr Ziel: Wertvolle Daten für zielgerichtete Sabotage und Manipulation.
„Zwischen Öl, Diplomatie und geopolitischer Kontrolle verlaufen die Frontlinien moderner Cyberspionage“, sagt Michael Klatte, IT-Sicherheitsexperte bei ESET. „Wer in der Region Einfluss gewinnen will, braucht Informationen. Genau deshalb sind kurdische und irakische Regierungsstellen ein bevorzugtes Ziel iranisch gesteuerter Hackergruppen wie BladedFeline.“
Spionage mit maßgeschneiderten Tools
Wie die Angreifer in die Systeme ihrer Opfer gelangten, ist bislang ungewiss. Klar ist jedoch, womit sie gearbeitet haben. Im Zentrum der Kampagne stehen zwei neu entdeckte Schadprogramme, mit denen die Hacker unbemerkt Daten abgreifen und ihre Spionage langfristig sichern konnten.
Jetzt Newsletter abonnieren
Einmal im Monat die besten News von B2B CYBER SECURITY lesen- Whisper: eine Backdoor, die sich in kompromittierte Microsoft Exchange-Webmail-Konten einklinkt und über manipulierte E-Mail-Anhänge mit den Angreifern kommuniziert.
- PrimeCache: ein bösartiges IIS-Modul, das auf Windows-Webservern installiert wird und verdeckte Befehle über manipulierte HTTP-Anfragen entgegennimmt.
Beide Werkzeuge ermöglichen den Angreifern eine nahezu unsichtbare Kommunikation mit infizierten Systemen. Die Tools wurden zusammen mit zwei Reverse-Tunnel-Programmen namens Laret und Pinar eingesetzt, um Daten verdeckt aus den Netzwerken abzuleiten und dauerhaft Zugriff zu behalten. Zusätzlich nutzte die Gruppe weitere Werkzeuge, etwa Webshells, PowerShell-Loader und Listener-Module, um ihre Aktivitäten in den betroffenen Systemen zu koordinieren. Selbst ein regionaler Telekommunikationsanbieter in Usbekistan fiel der Kampagne zum Opfer.
BladedFeline nutzt Werkzeuge der gefürchteten OilRig-Gruppe
Die technischen Merkmale vieler der eingesetzten Schadprogramme zeigen deutliche Parallelen zu bekannten Schadprogrammen von OilRig. So weist das PrimeCache-Modul signifikante Ähnlichkeiten zur RDAT-Backdoor auf, die OilRig bereits in früheren Kampagnen verwendet hatte. Auch der verwendete Code zur Datenverschlüsselung stammt augenscheinlich aus derselben Entwicklungsumgebung. Die Hackergruppe ist seit mindestens 2017 aktiv. In der Vergangenheit hat sie sich mit ähnlichen Attacken auf kurdische Beamte einen Namen gemacht.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.