Über die Operation 'Ghoul' sind weltweit Unternehmen auspioniert worden. Kaspersky geht davon aus, dass die Angreifer immer noch aktiv sind.

© Kaspersky Lab

Die anvisierte “Beute” der Cyberkriminellen sind vertrauliche Unternehmensdaten, die sie anschließend auf dem Schwarzmarkt verkaufen. Das Hauptmotiv der Operation mit Namen ‘Ghoul’ ist finanzieller Profit. Kaspersky Lab geht davon aus, dass die dahinter stehenden Angreifer immer noch aktiv sind. Bisher wurden über 130 Organisationen in 30 Ländern angegriffen – neben Unternehmen aus Deutschland auch welche aus Spanien, Pakistan, Indien, Großbritannien, Ägypten, den Vereinigten Arabischen Emiraten und Saudi-Arabien.

Vorgehensweise der Operation 'Ghoul'

Die Experten des Sicherheitsunternehmens Kaspersky Lab hatten im Juni 2016 eine Reihe von Spear-Phishing-E-Mails mit schädlichen Anhängen ausfindig gemacht. Diese E-Mails erreichten in erster Linie Manager in höheren und mittleren Positionen. Sie schienen von einer Bank aus den Vereinigten Arabischen Emiraten zu stammen und beinhalteten im Anhang ein SWIFT-Dokument – eigentlich ein standardisiertes Datenformat für den Nachrichtenaustausch zwischen Kreditinstituten, Börsen und Wertpapier-Lagern oder großen Unternehmen anderer Branchen. In dem Fall handelte es sich um einen Anhang, der in Wahrheit Malware enthielt.

Diese Malware basiert laut Kaspersky auf der kommerziellen ‘HawkEye’-Spionagesoftware, die im Darknet verkauft wird und verschiedene Tools für Cyberkriminelle enthält. Nach der Installation beziehungsweise der Infektion werden folgende Daten vom Computer des Opfers gesammelt:

• Tastenanschläge
• Daten aus dem Zwischenspeicher
• FTP-Server-Anmeldeinformationen
• Kontodaten aus den Internet-Browsern
• Kontodaten von Messengern
• Kontodaten von E-Mail-Programmen
• Informationen über installierte Anwendungen wie Microsoft Office

Diese Daten werden an die Command- and-Control-Server der Hintermänner geschickt. Laut den Recherchen von Kaspersky kommt der Großteil der Opfer aus den Bereichen Industrie und Ingenieurswesen. Weitere attackierte Organisationen finden sich in den Bereichen Transport, Pharmazie, Produktion, Handel und Bildung.

Namensdefinition von 'Ghoul'

“In der alten Folklore ist der Ghoul ein böses Fabelwesen, das menschliches Fleisch frisst und Jagd auf Kinder macht. Ursprünglich war es ein Dämon aus Mesopotamien. Heutzutage wird dieser Begriff auch für habgierige oder materialistische Personen verwendet.”, erklärt Mohammad Amin Hasbini, Sicherheitsexperte bei Kaspersky Lab. “Dies ist eine ziemlich genaue Beschreibung der Gruppe hinter der Operation ‘Ghoul’. Ihr Hauptmotiv ist finanzieller Profit, der entweder durch den Verkauf von gestohlenem geistigen Eigentum und ‘Business Intelligence’ entsteht oder durch Angriffe auf Bankkonten. Anders als staatlich-finanzierte Akteure, die ihre Ziele sorgfältig auswählen, könnte jedes Unternehmen Opfer dieser Gruppe sein.”, so Hasbini weiter. Auch wenn die Gruppe ziemlich einfache bösartige Tools verwende, seien ihre Attacken doch sehr effektiv.

Empfohlene Sicherheitstipps

Das Sicherheitsunternehmen Kaspersky rät als Gegenmaßnahmen solcher Angriffe zu Mitarbeiterschulungen, um Spear-Phishing-Mails oder Phishing-Links von echten Mails und Links unterscheiden zu können. Zudem sollten die IT-Sicherheitslösungen für Unternehmen mit Speziallösungen wie ‘Kaspersky Anti Targeted Attack Platform’ kombiniert werden. So lassen sich Angriffe durch die Analyse von Netzwerkanomalien erkennen. Ein weiterer Punkt ist, dass das IT-Sicherheitspersonal Zugang zu den neuesten Informationen über Cyberbedrohungen haben sollte, um gezielte Angriffe vorzubeugen und entdecken zu können.