Aufgrund einer Meldung des norwegischen Telekommunikationsanbieters Telenor von Mitte März 2013, hat Snorre Fagerland, ein Security Researcher im Malware Detection Team der Firma Norman, den Fall und das dahinterstehende indische Spionagenetzwerk näher untersucht. In seinem Hangover Report beschreibt der Researcher, dass Telenor nur eins der Angriffsziele war.
Im besonderen Interesse lagen staatliche Einrichtungen Pakistans. Die Gruppe, die hinter den Angriffen steckt, ist schon seit 2012 in Erscheinung getreten. Die zielgerichteten Angriffe mit dem Hintergrund des Informationsdiebstahls wurden bereits von Eset im Rahmen eines Berichts über signierte E-Mails in Südasien 2012 erwähnt.
Seit 2013 tritt die Gruppe neuerdings auch im Zusammenhang mit Industriespionage in Erscheinung, wobei der Kommunikationsanbieter Telenor nur eins der bekannten Ziele darstellt. Auch andere Wirtschaftssektoren zeigen Angriffsversuche. Betroffen sind hier die wirtschaftlichen Bereiche des Minenabbaus, Automobilhersteller, Ingenieurfirmen, juristische Institutionen, Lebensmittelhersteller sowie der Militär- und Finanzsektor. Eine monetäre Förderung durch eine staatliche Institution war hier bisher nicht zu beobachten.
Zielgruppe der letzten Angriffe waren vor allem Mitarbeiter in Managementpositionen, was sich durch auf einzelne Useraccounts zugeschnittene Attacken belegen lässt. Es wurden legitime, echte Firmendokumente mit einer virenbehafteten Version auf den internen Firmenservern ausgetauscht. Die beobachtete, ausgenutze Sicherheitslücke war hierbei vorranging der CVE-2012-0158 Exploit: Wird das Dokument geöffnet, wird der verschlüsselte, in das Dokument eingebette Schadcode ausgeführt. Dieser läd eine .exe Datei von einer Url nach, die weitere Aufgaben übernimmt, wie den Upload von Dateien, Passwörtern, Tastatureingaben und Bildschirmbildern. Je nach Version des Trojaners, beinhaltet dieser Funktionen, wie eine Reverseshell (eine sich zum Angreifer zurückverbindende Terminalverbindung) und die Fähigkeit, sich selbstständig bereits vorhandene Ordnernamen auf Usb Sticks zu vergeben, um so den Computernutzer unbemerkt dazu zu verleiten, den Trojaner auch auf anderen Rechnern zu installieren. Durch eine Fehlkonfiguration der Steuerserver im Internet erlangte der Researcher Zugriff auf die entwendeten Daten. Hier fanden sich diverse Passwörter und Logauswertungen von Sicherheitsfirmen wieder.
Die ersten Malwareversionen nutzen eine leicht angepasste Version des Visual Basic basierten “Smackdown-Downloaders”, spätere Versionen bauten auf der “Hangover” Uploader Malware auf, welche auch unter dem Namen “Hanove” bekannt ist. Eine weitere genutzte Technik ist das anonyme Registrieren von ähnlichen Domains, um bei Tippfehlern wie z.B. gooogle.de auf eine infizierende Webseite umzuleiten. Es hat sich auch hier gezeigt, dass die Möglichkeiten, die einem ein Social Engineering Angriff eröffnet, von vielen Firmen unterschätzt oder gar nicht beachtet werden.
Fazit: Auch Sicherungstechniken, wie z.B. der Einsatz von Dateiintegritätscheckern, bewahren nicht vor einem erfolgreichem Angriff, sodass Organisationen realisieren müssen, dass ein Einbruch nicht eine Frage des “obs” sondern des “wanns” ist und ein Notfallplan zu erstellen ist, dessen Umsetzung durch die Mitarbeiter getestet werden sollte.