Cyberattacken im asiatischen Raum haben hochrangige politische, militärische und zivile Organisationen im Visier
Ein Bericht von Kaspersky Lab enthüllt neue Erkenntnisse über die APT-Gruppe (Advanced Persistent Threat) „Naikon“ [1], die in den vergangenen fünf Jahren erfolgreich hochrangige nationale Organisationen und Institutionen rund um das Südchinesische Meer infiltrieren konnte.
Gemäß den Analysen von Kaspersky Lab scheinen die Naikon-Angreifer Chinesisch zu sprechen. Ihre Hauptziele sind hochrangige Regierungsinstitutionen sowie zivile und militärische Organisationen im asiatischen Raum – beispielsweise Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China [2].
Bei den Naikon-Angriffen stechen die folgenden Merkmale hervor:
- In jedem Zielland ist eine designierte Person aktiv, die sich mit den Landesgepflogenheiten auskennt und beispielsweise persönliche E-Mail-Accounts für berufliche Zwecke nutzt;
- Die innerhalb eines anvisierten Landes aufgebaute Infrastruktur (ein Proxy-Server) können liefert Support für Echtzeitverbindungen und gezielte Datensuche;
- Seit mindestens fünf Jahren werden zahlreiche, hochrangige und geopolitische Attacken durchgeführt;
- Die Naikon-Hintermänner operieren mit einem plattformunabhängigen Code und können den gesamten Netzwerkverkehr abfangen;
- Die Angreifer können per Fernzugriff 48 Befehle ausführen, darunter komplette Bestandsaufnahmen durchführen, Daten hoch- und herunterladen, Add-ons installieren sowie mit der Kommando-Zeile auf Zielsystemen Befehle eingeben.
Kaspersky Lab wurde im Rahmen einer Analyse der APT-Gruppe „Hellsing“ [3] auf Naikon aufmerksam – ein seltenes und unübliches Beispiel einer Cyberattacke, bei der sich die Cyberspionagegruppen Hellsing und Naikon untereinander bekämpft haben.
„Die kriminellen Hintermänner der Naikon-Attacken haben eine sehr flexible Infrastruktur entworfen, die in jedem Land aufgesetzt werden kann, indem Informationen vom Opfersystem zur Kommandozentrale getunnelt werden. Wenn die Angreifer sich dazu entschließen, ein anderes Ziel in einem anderen Land zu verfolgen, können sie einfach eine neue Verbindung aufbauen. Auch die vorgesehenen Ansprechpartner vor Ort, die sich auf ihr eigenes Set an Zielen konzentrieren, vereinfachen die Operationen der Naikon-Spionage-Gruppe”, sagt ,Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab.
Die Opfer von Naikon werden über Spear-Phishing attackiert, also über maßgeschneiderte E-Mails mit gefährlichen Anhängen, die das Interesse potenzieller Opfer wecken sollen. Anstatt eines gewöhnlichen Word-Dokuments entpuppt sich der Anhang allerdings als ausführbare Datei.
Kaspersky-Sicherheitstipps
Kaspersky Lab rät Organisationen zu den folgenden Maßnahmen, um sich vor den Naikon-Angriffen zu schützen:
- Niemals Anhänge öffnen oder auf Links klicken, die von unbekannten Nutzern kommen
- Auf fortschrittliche IT-Sicherheitslösungen und -Dienstleistungen [4] setzen
- Verdächtige Anhänge in einer Sandbox öffnen
- Immer aktualisierte Betriebssysteme und Programme nutzen
Der Automatische Exploit-Schutz [5] von Kaspersky Lab erkennt die Naikon-Komponenten als „Exploit.MSWord.CVE-2012-0158”, „Exploit.MSWord.Agent”, „Backdoor.Win32.MsnMM”, „Trojan.Win32.Agent” und „Backdoor.Win32.Agent”.
Eine technische Analyse über die Naikon-Gruppe kann unter http://www.viruslist.com/de/analysis?pubid=200883885 oder https://securelist.com/analysis/publications/69953/the-naikon-apt/ abgerufen werden.
[1] http://www.viruslist.com/de/analysis?pubid=200883885
[2] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_infographics__Naikon-APT_map.jpg
[3] http://newsroom.kaspersky.eu/de/texte/detail/article/cyberspionage-gruppen-bekaempfen-sich-gegenseitig/
[4] http://newsroom.kaspersky.eu/de/texte/detail/article/security-services-kaspersky-lab-1/ und http://newsroom.kaspersky.eu/de/texte/detail/article/unternehmensloesungen-von-kaspersky-lab/v
[5] http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf
Nützliche Links:
- http://www.viruslist.com/de/analysis?pubid=200883885
- Infografik Naikon: http://www.viruslist.com/de/images/vlill/naikon_1.jpg
- http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_infographics__Naikon-APT_map.jpg
- Hellsing-Analyse inklusive Comic: http://newsroom.kaspersky.eu/de/texte/detail/article/cyberspionage-gruppen-bekaempfen-sich-gegenseitig
- Englisches Whitepaper Automatischer Exploit-Schutz: http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf