ESET

Ukraine-Konflikt: Regierungsfeindliche Separatisten, Politiker und Journalisten im Fadenkreuz von Hackern

Pressemitteilung   •   Mai 18, 2016 15:01 CEST

Jena, 18. Mai 2016 – Der europäische Security-Software-Hersteller ESET veröffentlicht exklusive Forschungsergebnisse, die gezielte Cyber-Attacken auf regierungsfeindliche Separatisten in der Ukraine aufdecken. Durch Angriffe auf Computersysteme von regierungskritischen Aufständischen in der Ostukraine um die Städte Donetsk und Luhansk, spionieren die Angreifer sensible Informationen aus, was auf eine politische Motivation deutet. Auffällig ist, dass die ersten Samples der verwendeten Malware auf das Jahr 2008 zurückgehen – mit einem exponentiellen Anstieg 2014 und 2015 – den Jahren, in denen sich die Ukraine-Krise zuspitzte.

Maßgeschneiderte E-Mails als Angriffsvektor

Die Infektion der Computersysteme erfolgt über ein infiziertes Word-Dokument, das vorgibt, wichtige und lesenswerte Daten rund um den Konflikt in der Ostukraine zu enthalten.

Anton Cherepanov, Malware Researcher bei ESET, sagt dazu: „Im Rahmen unserer Analyse stellten sich maßgeschneiderte E-Mail-Attacken als bevorzugten Angriffsvektor heraus. Diese so genannten ‚Spear-Phishing-Mails‘ enthielten stets eine eindeutige Kampagnen-ID und provozierten mit einem reizvollen Dateinamen mit Bezug auf den Krieg im Donezbecken, ukrainisch ‚Donbas‘ genannt, das Öffnen des Anhangs.“

Nach Ausführung durch den Empfänger der E-Mail, installiert die modulare Schadsoftware den Trojaner Win32/Prikormka, der die heimtückischen Spionagemodule nachlädt. Statt Informationen zur Ukraine-Krise zeigen sich dem Betrachter im Word-Dokument daraufhin Preise von Grundfutter für Angler (englisch „groundbait“ und russisch „Prikormka“) – aus diesem Grund wurde die Aktion von den ESET Forschern zur „Operation Groundbait“ getauft.

Abbildung 1: Preise für Angler-Grundfutter sorgten zeitweise für Verwirrung bei den Opfern

Im Hintergrund beginnt die Malware unbemerkt damit, sensible Informationen des Computersystems zu sammeln und auf dedizierte Internet-Server zu laden. Wie die ESET Analysen zeigen, sind die Standorte dieser datensammelnden Server in der ukrainischen Metropole Kiew sowie der im Süden des Landes gelegenen Stadt Mariupol angesiedelt. Wie eingangs erwähnt, konzentrieren sich die Infektionsraten auf die Städte Donetsk und Luhansk, dies zeigen Daten der ESET LiveGrid-Telemetrie.

Abbildung 2: Vierstufiges Infektionsschema von Win32/Prikormka

Politische Intention naheliegend

Obwohl die Betreiber der Serversysteme schwer ausfindig zu machen sind, drängt sich auf Grund der regionalen Konzentration der Infektionen die Vermutung auf, dass es sich um eine politisch motivierte Cyber-Spionageattacke handelt: „Eine genaue und konkrete Bestimmung der Drahtzieher der Spionageaktion ist schwierig und spekulativ. Hauptsächlich werden ostukrainische Separatisten im Rahmen der Aktion ausgespäht, aber auch ukrainische Regierungsbeamte, Politiker und Journalisten sind unter den Opfern. Dies erschwert die einwandfreie Bestimmung der Angreifer. Hierzu sei angemerkt, dass stets auch falsch definierte Ziele irrtümlich in das Kreuzfeuer geraten können“, so ESET Senior Malware Researcher Robert Lipovský.

Abbildung 3: Auch das Minsker Abkommen wurde zu Phishing-Zwecken missbraucht

Die Forschungsergebnisse machen deutlich, dass der Konflikt in der Ukraine auch im digitalen Raum ausgetragen wird. Schon im Januar zeigten Analysen von ESET, dass ein Stromausfall in der Ukraine um Weihnachten 2015 durch eine gezielte Cyber-Attacke ausgelöst wurde („Stromnetz in der Ukraine durch Hacker lahmgelegt“: Artikel im ESET Security-Blog WeLiveSecurity von Januar 2016).

Diese neuen Dimensionen der digitalen Kriegsführung machen Sicherheitsvorkehrungen notwendiger denn je. Cyber-Attacken sind fester Bestandteil der hybriden Kriegsführung und werden in der Regel mit denselben Verschleierungstaktiken ausgeführt wie Bodenangriffe. Mit keinem logischen Muster wird es schwieriger den Angreifer zu identifizieren und seine Intention zu deuten. Um bestehende Strukturen vor Cyber-Attacken zu schützen, kommt auch immer häufiger das Militär zum Einsatz. So verfügt das französische Militär über eine eigene Cyber-Einheit und auch die deutsche Bundeswehr sucht verstärkt IT-Soldaten. Womöglich der Aufbruch in ein neues Kriegs-Zeitalter?

Eine detaillierte technische Analyse von Win32/Prikormka hat ESET in einem Whitepaper zusammengefasst, das auf dem Security-Blog WeLiveSecurity kostenlos zum Download zur Verfügung steht. Darin finden sich neben Fakten und Daten um die Spähkampagne auch weitere Exemplare entsprechender Spear-Phishing-Mails.

ESET ist ein weltweiter Anbieter von IT-Sicherheitslösungen für Unternehmen und Privatanwender. Der Entwickler der preisgekrönten NOD32-Technologie gilt als Vorreiter in der proaktiven Bekämpfung selbst unbekannter Viren, Trojaner und anderer Bedrohungen. ESET ist auf diesem Gebiet seit über 25 Jahren führend. 

Im Juni 2013 wurde ESET NOD32 Antivirus zum 80. Mal vom Virus Bulletin mit dem VB100 Award ausgezeichnet und ist damit Rekordhalter. Darüber hinaus hat die NOD32-Technologie im Vergleich zu Produkten anderer AV-Hersteller die längste Zeit in Folge den VB100 Award erhalten. Auch AV-Comparatives, AV-TEST und weitere Organisationen haben ESET bereits ausgezeichnet. 

Millionen von Nutzern vertrauen ESET NOD32 Antivirus, ESET Smart Security, ESET Cyber Security (Antivirenprogramm für Macs), ESET Mobile Security und IT Security for Business. Die Produkte zählen weltweit zu den am häufigsten empfohlenen Sicherheitslösungen.

ESET hat seine Zentrale in Bratislava (Slowakei) und besitzt regionale Vertriebszentren in San Diego (USA), Buenos Aires (Argentinien) und Singapur. In Jena (Deutschland), Prag (Tschechische Republik) und Sao Paulo (Brasilien) unterhält das Unternehmen eigene Niederlassungen. Außerdem verfügt ESET über Forschungszentren zur Malware-Bekämpfung in Bratislava, San Diego, Buenos Aires, Singapur, Prag, Košice (Slowakei), Krakau (Polen), Montreal (Kanada) und Moskau (Russland) sowie über ein Netz exklusiver Distributoren in mehr als 180 Ländern weltweit.