Zum Hauptinhalt springen

Gezielte Cyberspionage in Ländern rund um das Südchinesische Meer

19. Mai 2015

Cyberattacken im asiatischen Raum haben hochrangige politische, militärische und zivile Organisationen im Visier

Ein Bericht von Kaspersky Lab enthüllt neue Erkenntnisse über die APT-Gruppe (Advanced Persistent Threat) „Naikon“ [1], die in den vergangenen fünf Jahren erfolgreich hochrangige nationale Organisationen und Institutionen rund um das Südchinesische Meer infiltrieren konnte.

Gemäß den Analysen von Kaspersky Lab scheinen die Naikon-Angreifer Chinesisch zu sprechen. Ihre Hauptziele sind hochrangige Regierungsinstitutionen sowie zivile und militärische Organisationen im asiatischen Raum – beispielsweise Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China [2].

Bei den Naikon-Angriffen stechen die folgenden Merkmale hervor:

  • In jedem Zielland ist eine designierte Person aktiv, die sich mit den Landesgepflogenheiten auskennt und beispielsweise persönliche E-Mail-Accounts für berufliche Zwecke nutzt;
  • Die innerhalb eines anvisierten Landes aufgebaute Infrastruktur (ein Proxy-Server) können liefert Support für Echtzeitverbindungen und gezielte Datensuche;
  • Seit mindestens fünf Jahren werden zahlreiche, hochrangige und geopolitische Attacken durchgeführt;
  • Die Naikon-Hintermänner operieren mit einem plattformunabhängigen Code und können den gesamten Netzwerkverkehr abfangen;
  • Die Angreifer können per Fernzugriff 48 Befehle ausführen, darunter komplette Bestandsaufnahmen durchführen, Daten hoch- und herunterladen, Add-ons installieren sowie mit der Kommando-Zeile auf Zielsystemen Befehle eingeben.

Kaspersky Lab wurde im Rahmen einer Analyse der APT-Gruppe „Hellsing“ [3] auf Naikon aufmerksam – ein seltenes und unübliches Beispiel einer Cyberattacke, bei der sich die Cyberspionagegruppen Hellsing und Naikon untereinander bekämpft haben.



„Die kriminellen Hintermänner der Naikon-Attacken haben eine sehr flexible Infrastruktur entworfen, die in jedem Land aufgesetzt werden kann, indem Informationen vom Opfersystem zur Kommandozentrale getunnelt werden. Wenn die Angreifer sich dazu entschließen, ein anderes Ziel in einem anderen Land zu verfolgen, können sie einfach eine neue Verbindung aufbauen. Auch die vorgesehenen Ansprechpartner vor Ort, die sich auf ihr eigenes Set an Zielen konzentrieren, vereinfachen die Operationen der Naikon-Spionage-Gruppe”, sagt ,Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab.

Die Opfer von Naikon werden über Spear-Phishing attackiert, also über maßgeschneiderte E-Mails mit gefährlichen Anhängen, die das Interesse potenzieller Opfer wecken sollen. Anstatt eines gewöhnlichen Word-Dokuments entpuppt sich der Anhang allerdings als ausführbare Datei.

Kaspersky-Sicherheitstipps

Kaspersky Lab rät Organisationen zu den folgenden Maßnahmen, um sich vor den Naikon-Angriffen zu schützen:

  • Niemals Anhänge öffnen oder auf Links klicken, die von unbekannten Nutzern kommen
  • Auf fortschrittliche IT-Sicherheitslösungen und -Dienstleistungen [4] setzen
  • Verdächtige Anhänge in einer Sandbox öffnen
  • Immer aktualisierte Betriebssysteme und Programme nutzen

Der Automatische Exploit-Schutz [5] von Kaspersky Lab erkennt die Naikon-Komponenten als „Exploit.MSWord.CVE-2012-0158”, „Exploit.MSWord.Agent”, „Backdoor.Win32.MsnMM”, „Trojan.Win32.Agent” und „Backdoor.Win32.Agent”.

Eine technische Analyse über die Naikon-Gruppe kann unter http://www.viruslist.com/de/analysis?pubid=200883885 oder https://securelist.com/analysis/publications/69953/the-naikon-apt/ abgerufen werden.

[1] http://www.viruslist.com/de/analysis?pubid=200883885
[2] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_infographics__Naikon-APT_map.jpg
[3] http://newsroom.kaspersky.eu/de/texte/detail/article/cyberspionage-gruppen-bekaempfen-sich-gegenseitig/
[4] http://newsroom.kaspersky.eu/de/texte/detail/article/security-services-kaspersky-lab-1/ und http://newsroom.kaspersky.eu/de/texte/detail/article/unternehmensloesungen-von-kaspersky-lab/v
[5] http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf


Nützliche Links:

Gezielte Cyberspionage in Ländern rund um das Südchinesische Meer

Cyberattacken im asiatischen Raum haben hochrangige politische, militärische und zivile Organisationen im Visier
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen