Zunahme von Bedrohungsaktivitäten durch das iranische Ajax Security Team
FireEye enthüllt zunehmende Angriffe auf US-Rüstungsunternehmen
 |
Logo: FireEye (Copyright: FireEye) |
Brunn am Gebirge (ptp011/26.05.2014/11:05) FireEye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyber-Angriffen, hat den Untersuchungsbericht mit dem Titel "Operation Saffron Rose" zu den Aktivitäten einer iranischen Cyber-Spionagegruppe veröffentlicht.
Die Gruppe, die FireEye-Mitarbeiter als Ajax Security Team bezeichnen, hat ihre Vorgehensweise vom vorrangigen Hacken von Internetseiten im Jahr 2009 zu ausgewachsenem Ausspionieren von iranischen Dissidenten und US-Rüstungsunternehmen weiterentwickelt. Indizien im Bericht legen nahe, dass sich die Methodik von Ajax der Vorgehensweise anderer Advanced Persistent Threat-Akteure aus dem Iran und seinen Nachbarländern infolge von Cyber-Angriffen auf den Iran in den späten 2000er Jahren zunehmend angenähert hat.
"Es vollzieht sich derzeit eine Entwicklung innerhalb im Iran beheimateter Hacker-Gruppen. Diese steht mit den Versuchen des Irans in Einklang, politische Dissidenten zu kontrollieren und offensive Cyber-Fähigkeiten zu erweitern", sagt Nart Villeneuve, Senior Threat Intelligence Researcher bei FireEye. "Wir haben nicht nur eine zunehmende Aktivität seitens im Iran beheimateter Bedrohungsurheber, sondern auch einen Übergang zu Cyber-Spionagetaktiken, beobachtet. Die Akteure führen nicht länger Angriffe aus, um schlicht ihre Botschaft zu verbreiten. Sie entscheiden sich stattdessen dazu, detailliert auszuspähen und die Systeme des Zielobjekts für längerfristige Aktionen zu kontrollieren."
Die Ziele von Operation Saffron Rose sind iranische Dissidenten und US-Rüstungsunternehmen. FireEye Labs haben jüngst beobachtet, dass das Ajax Security Team mehrere Cyber-Spionage-Operationen gegen Unternehmen der Rüstungsindustrie in den USA durchgeführt hat. Die Gruppe richtet ihre Aktionen ebenso gegen iranische Nutzer von Profixier oder Psiphon. Beides sind Anti-Zensur-Technologien, die das Internet-Zensursystem des Irans umgehen.
Es ist unklar, ob das Ajax Security Team isoliert arbeitet oder Teil größerer, staatlich gesteuerter Bemühungen ist. Das Team nutzt Malware-Tools, die nicht frei erhältlich zu sein oder von keiner anderen Gruppierung genutzt zu werden scheinen. Zudem nutzt die Gruppe verschiedene Social-Engineering-Taktiken, um Ziele zu ködern und ihre Systeme mit Malware zu infizieren. Obwohl FireEye Labs nicht beobachtet hat, dass das Ajax Security Team Zero-Day-Angriffe zur Infizierung einsetzt, haben vormals Mitglieder des Teams Exploit-Codes verwendet, um Internetseiten im Rahmen ihrer Aktionen zu hacken.
FireEye hat Informationen zu 77 Zielen eines Command-and-Control-Servers aufgedeckt. Sie wurden bei der Analyse von Malware-Proben entdeckt, die als Proxifier und Psiphon getarnt waren. Bei der Analyse der Ziel-Daten hat FireEye eine besondere Häufigkeit von Einstellungen in der Zeitzone des Iran und in persischer Sprache festgestellt.
Folgend finden Sie eine detaillierte Aufschlüsselung der Zieldaten:
* 44 Ziele hatten die Zeitzone "Iran Standard Time" eingestellt und 37 von diesen hatten zudem die Einstellung auf die persische Sprache
* Von den 33 Zielen, bei denen nicht die iranische Zeitzone eingestellt war, waren 10 auf die persische Sprache eingestellt
* 12 der Ziele hatte entweder Proxifier oder Psiphon installiert oder in Betrieb (alle 12 hatten persische Spracheinstellungen, nur eine war nicht auf "Iran Standard Time" eingestellt)
Der Iran wird bereits seit 2009 mit fortschrittlichen Cyber-Angriffen identifiziert, als die Pläne für einen neuen Marine Corps One-Helikopter des US-Präsidenten in einem Filesharing-Netzwerk im Iran gefunden wurden.[1] 2010 brachte die "Iranian Cyber Army" Twitter und die chinesische Suchmaschine Baidu zum Erliegen, wobei Letztere auf politische Botschaften des Iran weiterleitete.[2] 2013 berichtete das "Wall Street Journal", dass iranische Akteure ihre Bemühungen verstärkt hätten, wichtige Infrastruktureinrichtungen der USA zu beeinträchtigen.[3] Schließlich hat in den letzten Jahren eine andere Gruppierung, namens Izz ad-Din al-Qassam, die "Operation Ababil" gestartet, die eine Reihe von DDoS-Angriffen gegen viele US-Geldinstitute samt der New Yorker Börse in Gang setzte.[4]
Der Report ist hier nachzulesen http://www.fireeye.com/resources/pdfs/fireeye-operation-saffron-rose.pdf sowie der darauf bezogene Blogbeitrag: http://www.fireeye.com/blog/technical/malware-research/2014/05/operation-saffron-rose.html
Lösungen von FireEye bei Ihrem Value-Added-Distributor
IT-Fachhändler können die Lösungen von FireEye bei Exclusive Networks Austria beziehen. Der Value-Add Distributor bietet zudem qualifizierten Support durch zertifizierte Techniker, Zertifizierungstrainings und schnelle Lieferung aus dem regionalen Lager.
Über FireEye, Inc.
FireEye hat eine speziell entwickelte Virtual Machine-basierte Plattform erfunden, die Schutz für Unternehmen und Regierungen vor Next Generation Cyber-Angriffen in Echtzeit bietet. Diese besonders fortgeschrittenen Angriffe umgehen traditionelle signaturbasierte Abwehrmechanismen, wie Next Generation Firewalls, IPS, Anti-Virus und Gateways, mit Leichtigkeit. Die FireEye Threat Prevention Platform bietet dynamischen Schutz in Echtzeit ohne Signaturen zu nutzen, um Organisation auf den primären Angriffsvektoren zu schützen, über die verschiedenen Angriffsstufen hinweg. Das Kernstück der FireEye Plattform ist die Virtual Execution Engine, die durch dynamische Threat Intelligence ergänzt wird, um Angriffe in Echtzeit zu identifizieren und zu stoppen. FireEye hat über 1.900 Kunden in mehr als 60 Ländern, darunter 130 der Fortune 500 Unternehmen. http://www.fireeye.com
Über die Exclusive Networks Group
Die Exclusive Networks Group verbindet neue und wachsende globale Technologie-Anbieter für paneuropäische Märkte durch ihr Modell des "Super Value Add Distributors". Das Unternehmen ist spezialisiert auf Sicherheits-, Netzwerk-, Infrastruktur- und Storage-Lösungen für das "Smarter Social Enterprise", beschäftigt mehr als 400 Mitarbeiter und beliefert über 5.500 Reseller-Partner.
Exclusive Networks agiert als eng integrierte Gruppe von unabhängigen und unternehmerisch geführten Geschäftsbereichen mit nationalem Fokus. Sie ist dafür bekannt, erfolgreich innovative und außergewöhnliche Technologien auf dem europäischen Markt zu platzieren. Seit 2003 verzeichnet das Unternehmen signifikantes Wachstum und ist erfolgreich zusammen mit seinen Partnern: Hersteller, Integratoren, VARs und Service Provider profitieren durch Services hinsichtlich Beratung, Vertrieb, Marketing, Training und technischem Support. Mit Hauptsitz in Frankreich, ist Exclusive Networks in über 20 Ländern in Europa, im mittleren Osten und Nordafrika vertreten.
2011 wurde die Exclusive Networks Austria als österreichische Niederlassung der Exclusive Networks Group gegründet. Die Fachhandelspartner werden direkt aus dem lokalen Lager beliefert und von kompetenten Mitarbeitern betreut. http://www.exclusive-networks.at
Pressekontakt FireEye:
Grayling Deutschland GmbH
Ewa Krzeszowiak
Tel. +49 (0)211 96 485 62
E-Mail: ewa.krzeszowiak@grayling.com
Kontakt zu Exclusive Networks Austria GmbH:
Peter Schoderböck, Michaela Koch
Liebermannstraße F06 402/1
2345 Brunn am Gebirge
Telefon +43 (1) 336 0 337 - 0
E-Mail: pschoderboeck@exclusive-networks.com; mkoch@exclusive-networks.com
http://www.exclusive-networks.at
| Aussender: | Exclusive Networks Austria GmbH |
| Ansprechpartner: | Michaela Koch |
| Tel.: | +43 1 336 0 337-55 |
| E-Mail: | mkoch@exclusive-networks.com |
| Website: | www.exclusive-networks.at/portfolio/fireeye |
