Entdeckung einer neuen Angriffsmethode
"Clandestine Fox": Hartnäckige Cyberangreifer erproben unterschiedliche Taktiken
Angriffe betrafen in erster Linie Finanzwirtschaft, Energiesektor, Rüstungsindustrie und staatliche Einrichtungen
(16.07.14) FireEye verfolgt seit einiger Zeit die Aktivitäten einer Gruppe krimineller Akteure. FireEye Research Labs taufte das Vorgehen dieser Gruppe "Operation Clandestine Fox". Aufmerksam wurde FireEye durch die Entdeckung einer neuen Angriffsmethode, die gezielt gegen sämtliche Versionen des Internet Explorers gerichtet ist. Akteure hinter "Clandestine Fox" nutzen mittels "Zero-Day Exploits" eine Schwachstelle des Browsers, um auf einem Computer Schadcode beim Besuchen einer Webseite auszuführen. Mehr als ein Viertel der Browser-Installation aus dem Jahr 2013 (ca. 26 Prozent, Quelle: NetMarket Share) ist durch diese Schwachstelle verwundbar. Ebenfalls betroffen ist Windows XP, das Betriebssystem von Microsoft, das nicht mehr aktiv unterstützt wird. Die Angriffe der Gruppe betrafen in erster Linie Finanzwirtschaft, Energiesektor, Rüstungsindustrie und staatliche Einrichtungen.
Die Zusammenarbeit zwischen FireEye und Microsoft führte Anfang Mai zur Veröffentlichung eines Updates für die betroffenen Versionen des Internet Explorers. Untersuchungen zeigten, dass die Akteure hinter "Clandestine Fox" schon zuvor Zugriff auf sogenannte "Zero-Day Exploits" hatten.
Soziale Netzwerke können Cybersicherheit gefährden
Einen Monat später konnten erneut Aktivitäten der Gruppierung aufgedeckt werden. Nachdem die Browser-Schwachstelle behoben wurde, versuchte die Gruppe ihre Ziele über E-Mail-Anhänge mit Schadcode zu infizieren. Dabei stellten sie über soziale Netzwerke Kontakt her, beispielsweise zu Angestellten im Energiesektor. Durch eine Kombination von Kontakt in sozialen Netzwerken und per E-Mail wurden Informationen über das Unternehmen erfragt. Dabei ging es vorrangig um Namen von Managern und eingesetzter Software. Diese Informationen sind während der Planungsphase eines Angriffes von großem Wert.
Die Gruppe nutzte bevorzugt private E-Mail-Adressen. Möglicherweise sollte so das Umgehen von Sicherheitslösungen im Unternehmen möglich sein. Viele Nutzer verknüpfen das private E-Mail-Postfach mit sozialen Netzwerken und nutzen diese auch innerhalb des Unternehmens.
Angreifer nutzen verschiedene Methoden
Die Beobachtung der "Operation Clandestine Fox" macht deutlich: Kriminelle Akteure versuchen die Vorteile verschiedenster Angriffspunkte auszunutzen und ändern dementsprechend auch ihre Vorgehensweisen. Nachdem die Schwachstelle des Internet Explorers geschlossen wurde, verlagerte die Gruppe ihre Angriffe auf soziale Netzwerke, die sowohl privat als auch geschäftlich einen immer höheren Stellenwert genießen. Dadurch stellen diese eine weitere potentielle Bedrohung für Nutzer und den IT-Verbund dar. (FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.