Das FBI hat Untersuchungen gestartet, nachdem Donald Trumps Präsidentschaftskampagne nach eigenen Angaben von iranischen Hackern angegriffen wurde die als Mint Sandstorm oder Charming Kitten bekannt sein sollen. Deren Aktivitäten überschneiden sich mit einer Gruppe, die vom IT-Sicherheitsunternehmen Proofpoint als TA453 beobachtet wird.
Proofpoint verfügt über keine direkten Erkenntnisse über Aktivitäten, die sich speziell gegen die Trump-Kampagne richten oder zu Aktivitäten, die kürzlich von Microsoft gemeldet und Mint Sandstorm zugeschrieben wurden. Die Aktivitäten stimmen jedoch mit typischen TA453-Kampagnen und -Aktivitäten überein. Die Aktivitäten von TA453 überschneiden sich mit denen von Mint Sandstorm alias Charming Kitten.
TA453 wohl ein Partner-Hacker-Team
TA453 ist dafür bekannt, Phishing-E-Mails mit Links zu versenden, um Anmeldedaten zu sammeln, wobei häufig Marken wie Yahoo, LinkedIn oder Microsoft missbraucht werden. Diese Gruppe verwendet in ihren Phishing-E-Mails verschiedene Methoden: Sie nimmt die Persönlichkeit von Journalisten oder Akademikern an, ahmt Gmail- oder Google Drive-Seiten nach oder gibt sich als bekannte gemeinnützige Organisation aus. Außerdem richtet die Gruppe gefälschte Social-Media-Konten und Domains ein, deren Name bzw. Internetadresse sich nur in einem kleinen Detail von Websites bekannter Marken unterscheiden („Typo Squatting“).
Wie andere Akteure, die Advanced Persistent Threats (APT) zur Spionage einsetzen, passt auch TA453 seine Instrumente, Taktiken, Techniken und Zielsetzungen beständig an. TA453 adaptiert seine Kampagnen wahrscheinlich an die dynamischen, nachrichtendienstlichen Anforderungen der Iranischen Revolutionsgarde an (Islamic Revolutionary Guard Corps: IRGC), einschließlich der möglichen Unterstützung feindlicher und sogar kinetischer Operationen.
TA453 unterstützt den Iram mit Aktionen
TA453 versucht immer wieder, die Inhalte von E-Mail-Postfächern typischer nachrichtendienstlicher Ziele der iranischen Regierung wie der iranischen Diaspora, politischer Analysten und Lehrkräfte zu sammeln und zu exfiltrieren. Darüber hinaus hat Proofpoint festgestellt, dass TA453 derzeitige und ehemalige US-Beamte und Vertreter der Kampagnen von US-Politikern im Visier hat. Ausnahmsweise richtet die Gruppe ihre Angriffe auch auf Medizinforscher.
Mehrere mit dem Iran verbündete APT-Akteure, darunter TA453, nutzen Journalisten oder Zeitungen als Vorwand, um Ziele zu überwachen und zu versuchen, deren Zugangsdaten abzugreifen. TA453 gibt sich routinemäßig als Journalisten aus aller Welt aus. Die Cyberkriminellen nutzen diese Personas, um harmlose Gespräche mit den Zielpersonen zu führen, bei denen es sich zumeist um Akademiker und Politikexperten handelt, die sich mit den politischen Beziehungen im Nahen Osten befassen.
Mehr bei ProofPoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.