Woolen-Goldfish: Deutsche Behörden Ziel von Cyberattacken

Behörden in Deutschland, akademische Einrichtungen in Israel sowie europäische Organisationen und Unternehmen wurden Opfer eines Hackerangriffs. Das berichtet Trend Micro. Demnach ist eine Gruppe Cyberkrimineller mit dem Namen “Rocket Kitten” für die Operation “Woolen-Goldfish” verantwortlich. Als Auftraggeber soll die iranische Regierung fungieren. Die Ziele hätten gemeinsam, dass sie sich “in der einen oder anderen Weise mit Iran beschäftigen”, heißt es in einer Pressemitteilung des Sicherheitsunternehmens.

Als Grund der Angriffe vermutet Trend Micro, dass die Opfer Informationen besitzen, die von Interesse für die iranische Regierung sein könnten. Das Unternehmen habe nach eigenen Angaben sogar ein Mitglied der Gruppe identifizieren können. Hinter dem Pseudonym “Wool3n.H4t” soll der Hacker Mehdi Madavi stehen, der den Angriff wohl geleitet hat.

Für die Operation Woolen-Goldfish sollen die Cyberkriminellen speziell präparierte Spear-Phisihing-E-Mails verwendet haben, um Spionagesoftware zu installieren. Unter anderem gaben sie sich dafür als israelischer Ingenieur sowie als eine bekannte Persönlichkeit aus dem israelischen Verteidigungssektor aus. Die Opfer hätten nur auf einen in der E-Mail enthaltenen Link klicken müssen, um ihren Rechner zu infizieren. Ein Keylogger zeichnete dann sämtliche Tastatureingaben auf. Dieser sendete die Informationen an einen Befehlsserver in Deutschland.

Für den Angriff hat die Gruppe Trend Micro zufolge eine “ganz neue” Malware entwickelt. Das Sicherheitsunternehmen hat ihr den Namen “Tspy_Woolerg.A” gegeben. Sie soll eine ausführbare Datei innerhalb einer Archivdatei sein. Dabei gebe sie sich als PowerPoint-Dokument aus.

“Die Angriffsmethode ist nicht neu und die Spionagesoftware ist auch nicht von außergewöhnlicher Qualität. Das tut dem Erfolg der Attacke allerdings keinen Abbruch, schließlich wurden zahlreiche Ziele infiltriert”, erklärte Udo Schneider, Pressesprecher von Trend Micro. “Selbst geschulte Anwender und Geheimnisträger dürften hin und wieder der Versuchung erliegen, eine E-Mail zu öffnen, die vermeintlich von einem legitimen Absender stammt. Voraussetzung ist nur, dass der Inhalt stimmt. Und dies scheint bei Woolen-Goldfish der Fall zu sein. Die Vermutung liegt nahe, dass sowohl Wool3n.H4t als auch seine Auftraggeber aus dem Iran kommen.”

Laut Trend Micro ist Rocket Kitten auch für eine frühere Operation mit ähnlichen Zielen verantwortlich. Dabei setzten sie die Schadsoftware Ghole ein. Sie setzte jedoch mehr Nutzerinteraktion voraus als die für Woolen-Goldfish verwendete Malware. Auch hier versteckten die Angreifer ihre Spionagesoftware in einem Microsoft-Office-Dokument.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de