Ghoul – Deutsche Unternehmen von weltweiter Cyberattacke betroffen

Der Sicherheitsanbieter Kaspersky Lab berichtet von einer zielgerichteten Angriffswelle gegen Unternehmen aus der Industrie und dem Ingenieurswesen. Von der weltweiten Attacke sind auch deutsche Unternehmen betroffen.

Über Spear-Phinsching-Mails und über Malware fahren Hacker derzeit eine groß angelegte Attacke gegen Organisationen aus der Industrie und Engineering. Unter den Opfern sollen auch deutsche Unternehmen sein. Wie der IT-Sicherheitsanbieter Kaspersky Lab berichtet, sollen es die Kriminiellen der “Operation Ghoul” vor allem auf wertvolle Unternehmensdaten abgesehen haben. Diese Informationen werden anschließend über den Schwarzmarkt verkauft.

Laut Informationen des Sicherheitsanbieters sollen mindestens 130 Organisationen in mehr als 30 Ländern, darunter Spanien, Pakistan, Vereinigte Emirate, Großbritannien und Deutschland, von dem Überfall betroffen sein.

Bereits im Juni 2016 haben die Experten von Kaspersky Lab eine Reihe Spear-Phishing-E-Mails mit schädlichen Anhängen entdeckt. Diese E-Mails wurden in erster Linie an Manager in höheren und mittleren Positionen in verschiedenen Unternehmen verschickt. Die von den Angreifern versendeten E-Mails schienen von einer Bank aus den Vereinigten Arabischen Emiraten zu stammen: Sie sahen wie eine Zahlungsaufforderung der Bank mit einem angehängten SWIFT-Dokument (Society for Worldwide Interbank Financial Telecommunication) aus. Allerdings war in dem Formular eine Malware enthalten.

Diese Spear-Phishing-Kampagne gehe höchstwahrscheinlich von einer Gruppe aus, die die IT-Sicherheitsexperten seit März 2015 beobachten. Die Angriffe im Juni scheinen die neuesten Attacken der Gruppe zu sein.

Die Malware in den E-Mail-Anhängen basiert auf der kommerziellen ‘HawkEye’-Spyware, die im Darknet verkauft wird und verschiedene Tools für die Angreifer enthält. Auch wenn die Attacke technisch nicht sonderlich ausgereift ist, soll sie laut den Kaspersky-Experten doch recht effektiv zu sein und für die Opfer dieser Attacke kann diese schwerwiegende Folgen haben.

Nach der Infektion sammelt die Malware relevante Daten vom Computer des Opfers wie etwa Tastenanschläge, Daten aus der Zwischenspeicher, FTP-Server-Anmeldeinformationen,

Kontodaten aus Browsern, Kontodaten von Messengern und Mail-Programmen und Informationen über installierte Anwendungen.

Basierend auf den Informationen, die von einer ‘Sinkhole’-Aktion dieser Server stammen, kommt der Großteil der Opfer aus den Bereichen Industrie und Ingenieurswesen – weitere attackierte Organisationen finden sich in den Bereichen Transport, Pharmazie, Produktion, Handel und Bildung.

“In der alten Folklore ist der Ghoul (deutsch Ghul) ein böses Fabelwesen, das menschliches Fleisch frisst und Jagd auf Kinder macht. Ursprünglich war es ein Dämon aus Mesopotamien. Heutzutage wird dieser Begriff manchmal auch für habgierige oder materialistische Personen verwendet”, so Mohammad Amin Hasbini, Sicherheitsexperte bei Kaspersky Lab.

“Dies ist eine ziemlich genaue Beschreibung der Gruppe hinter der Operation Ghoul. Das Hauptmotiv ist finanzieller Profit, der entweder aus dem Verkauf von gestohlenem geistigen Eigentums und ‘Business Intelligence’ oder durch Angriffe auf Bankkonten resultiert.”