zurück zur Übersicht

Operation Lotus Blossom / Unit42

lotus_bDas Palo Alto Networks Threat Intelligene Team „Unit42“ hat einen bisher noch nicht bekannten, persistenten Cyberspionage Angriff erkannt und analysiert. Ziel der Attacke sind staatliche und militärische Einrichtungen in Südostasien. Erste Spuren lassen sich bis ins Jahr 2012 zurückverfolgen. Beachtlich ist, dass dieser Angriff trotz reichlichen Sicherheitssystemen in den betroffenen Netzwerken 3 Jahre lang unentdeckt geblieben ist. Es wird vermutet, dass die Angreifer mit hoher Wahrscheinlichkeit staatlich gefördert werden. Dabei stehen Länder mit starken eigenen Interessen in Südostasien unter Verdacht. Der Hack-Serie wurde durch die Unit42 „Lotus Blossom“ getauft. Während der Untersuchung des Angriffs durch Unit42 stellte sich heraus, dass das Lotus Blossom Team offenbar über umfangreiche Ressourcen verfügt. So wurden selbst ausgefeilte Angriffswerkzeuge entwickelt und ein über mehrere Jahre andauernder Angriff vorbereitet und durchgeführt. Dies deutet auf ein gut organisiertes Team hin. Insgesamt konnte Unit42 mehr als 50 verschiedene, an sich einzigartige Angriffe diesem Team zuordnen. Die Angriffe verteilten sich über Hong Kong, Taiwan, Vietnam, die Philippinen und Indonesien. Die Angriffe weisen eine Reihe von gemeinsamen Merkmalen auf, wie z.B.:

  • Ziele waren Militär- und Regierungseinrichtungen
  • Spear Phising als Anfangsangriffsvektor
  • Verwendung eines angepassten Trojaners namens „Elise“ um ein initiales Standbein zu etablieren
  • Nutzung einer Köder-Datei während der ersten Kompromittierungsphase, um den Benutzer zu täuschen und Malware ins System zu schleusen

Für die erste Angriffswelle wurden Emails mit plausiblen Betreffzeilen und angehängten, legitim aussehenden Dokumenten verwendet, um die Empfänger zu täuschen und zum Öffnen des Anhangs zu bewegen. Hierbei war ein beliebtes Thema „Personaldienstpläne“. Die Analysen lassen vermuten, dass die Angreifer die „Elise“ Schadsoftware speziell für die Anforderungen dieses Angriffs entwickelt haben. Während der dreijährigen Angriffszeit wurden aus 50 Proben drei Varianten ermittelt. Elise ist ein relativ hochentwickeltes Werkzeug:

  • es kann sich tarnen, um in einer virtuellen Umgebung (Sandbox) nicht erkannt zu werden
  • es verbindet sich versteckt mit Command&Control-Servern zum Nachladen von Anweisungen
  • es ist in der Lage, Daten aus befallenen Netzwerken zu exfiltrieren

Operation Lotus Blossom wurde durch den neuen Palo Alto Networks Autofocus™ Service entdeckt und die Malware-Samples wurden durch den Wildfire™ Service analysiert. Wildfire™ ermöglicht eine schnelle Analyse und einen Austausch über eine weltweite Community von IT-Security-Experten. Der Advanced-Persistent-Threat-Angriff (APT) Lotus Blossom ist ein Paradebeispiel, wie ein gut ausgestatteter Angreifer fortschrittliche Tools über einen langen Zeitraum, manchmal Jahre, entwickelt um seine Ziele zu erreichen. Diese Art von Attacken nimmt weltweit immer mehr zu. Praktisch jedes Unternehmen muss damit rechnen, früher oder später Ziel eines solchen Angriffes zu werden. Um sich vor APTs zu schützen ist ein gut abgestimmtes Sicherheitskonzept notwendig. Doch allein das Vorhandensein von Tools wie Wildfire™ oder einer Next-Generation Firewall (NGFW) erhöht noch nicht die Sicherheit: Die Abwehr muss verzahnt und auf die Besonderheiten des Nutzers abgestimmt werden. Sicherheitsexperten müssen kontinuierlich alle Komponenten auf dem neuesten Stand halten und bei Anzeichen einer Infiltration sofort reagieren, um wichtige Assets und Daten zu schützen. Nicht zuletzt muss durch Awareness Training die Belegschaft geschult werden um auf Phishing und Social Engineering-Attacken besser vorbereitet zu sein. Für jeden dieser Punkte ist iT-CUBE SYSTEMS der richtige Partner. Ob Infiltration Test, die Konfigurationsoptimierung Ihrer NGFW oder die Fernüberwachung Ihres Netzwerks durch erfahrene Sicherheitsexperten mit Top-Ausrüstung: Nutzen Sie das langjährige Know-How unsere Fachleute und unsere Vernetzung innerhalb der Securitycommunity zum Schutz Ihrer Infrastruktur.


Links:

http://researchcenter.paloaltonetworks.com/2015/06/operation-lotus-blossom/

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar