5.7 Süd-Korea
5.7.1 Dark Hotel/Tapaoux
Es wird derzeit davon ausgegangen, dass sich diese APT in Südkorea befindet. Bisher ist nicht klar, ob es sich um einen nationalstaatlichen Akteur handelt, aber DarkHotel führt anspruchsvolle Wirtschaftsspionagekampagnen durch.
Die Gruppe ist auch unter vielen anderen Namen bekannt: Dubnium, Fallout Team, Karba, Luder, Nemim, Nemin, Tapaoux, Pioneer, Shadow Crane, APT-C-06, SIG25, Tungsten Bridge, T-APT-02.
Die DarkHotel APT begann 2007 und führte über das von Hotels angebotene WiFi-Netzwerk gezielte Spyware- und Malware-Verbreitungskampagnen gegen Business-Hotelbesucher durch, insbesondere leitende Angestellte in Luxushotels in den USA und Asien.
Im Jahr 2020 versuchten sie im Rahmen der Corona-Krise, im März 2020 durch Passwortdiebstahl in die Weltgesundheitsorganisation einzudringen. Eine überlappende Angriffsmethode mit der russischen APT29 ist die Verwendung von SoreFang-Malware gegen SangFor-Geräte.
5.8 Iran
5.8.1 Pioneer Kitten/Fox Kitten/Parisite
Westlichen Berichten zufolge entwickelt sich der iranische Cybersektor sowohl aus organisatorischer Sicht als auch in Bezug auf TTPs und Malware-Familien rasant weiter. Die aktuell angenommene Struktur ist:
Die APT Pioneer Kitten bricht in Netzwerke ein. Der Zugriff wird dann an die nachstehend beschriebenen APTs 33 bis 35 übergeben. Sie erweitern und stabilisieren den Zugang. Die von Pioneer Kitten und den anderen APTs gewonnenen Daten werden dann wie folgt verteilt: Strategisch wichtige Zugriffe verbleiben in den Händen der anderen APTs, während die verbleibenden Zugangsdaten an Pioneer Kitten übergeben werden, die sie seit Juli 2020 an andere Hacker auf den jeweiligen Plattformen verkaufen.
5.8.2 APT33/Elfin Team/Refined Kitten/Magnallium/Holmium/Cobalt Trinity
FireEye berichtete 2017 über die neue APT33, die mit der iranischen Regierung in Verbindung steht, unterstützt durch Erkenntnisse, dass Werkzeuge wie Nanocore, Netwire und AlfaShell typischerweise von iranischen Hackern verwendet werden, die auf iranischen Hacking-Webseiten und bei anderen iranischen Cyber-Akteuren präsent sind. Die Dropshot (auch bekannt als Stonedrill) Malware wird verwendet, um die Turnedup-Backdoor zu etablieren, die dann manchmal an die zerstörerische Malware Shapeshift verwendet wird, die konfiguriert werden kann, um Dateien zu löschen, ganze Volumen zu löschen oder Festplatten zu säubern. Dropshot und Shapeshift Codes weisen einige Farsi-Sprachartefakte auf.
Ein Mitglied der APT33 mit der Coveridentität xman_1365_x konnte mit dem Nasr-Institut in Verbindung gebracht werden, das von den USA verdächtigt wird, der iranischen Cyber-Armee identisch zu sein, und das auch verdächtigt wurde, von 2011 bis 2013 Angriffe auf US-Finanzinstitute in einer Operation namens Ababil ausgeführt zu haben. APT33-Angriffe wurden nun in den USA, Saudi-Arabien und Südkorea registriert, wobei der Schwerpunkt auf Firmen lag, die mit dem militärischen und dem Energie-Petrochemie-Bereich zusammenarbeiten.
Eine Verbindung zum Shamoon-Angriff vor einigen Jahren konnte zunächst nicht hergestellt werden, dann aber wuchs die Evidenz: Shamoon konzentrierte sich auf Regierungsziele und hatte Elemente arabisch-jemenitischer Sprache, während Dropshot auf kommerzielle Organisationen mit Farsi-Sprachreferenzen zielte. Die Tatsache, dass beide Saudi-Arabien angriffen, Wiper verwendeten und gegen virtuelle Maschinen gesichert waren (Anti-Emulation), war zunächst nicht ausreichend. Aber dann wurden technische Ähnlichkeiten zwischen Shamoon und Shapeshift gezeigt.
Die Shamoon-Malware wurde aktualisiert und mittlerweile ist Shamoon-3 vorhanden. Die erste Version wurde 2012 gegen Aramco verwendet, während 2016 und 2017 aktualisierte Shamoon v.2– und Stonedrill-Wiper verwendet wurden. Im Jahr 2018 wurde Shamoon-3 gegen die Netze des italienischen Öl-und Gasunternehmens Saipem eingesetzt. Es wurde auch bei Angriffen auf Lieferketten eingesetzt.
Im Februar 2020 veröffentlichte die US-Behörde FBI eine Warnung, dass der Kwampirs-Fernzugriffstrojaner (RAT) für Unternehmen im Gesundheits-, Energie- und Finanzsektor verwendet werden soll, aber auch für Unternehmen, die industrielle Kontrollsysteme (ICS) für die globale Energieerzeugung, -Übertragung und -Verteilung supporten.
Ursprünglich wurde Kwampirs im Jahr 2018 beobachtet und von einer Gruppe namens Orangeworm verwendet, die seit 2015 aktiv ist.
Obwohl Kwampirs keine Wiperfunktion hat, wurden bei der forensischen Analyse des FBI verschiedene andere technische Ähnlichkeiten mit Shamoon festgestellt.
5.8.3 APT34/Helix Kitten
Eine weitere iranische APT ist die APT34, die seit 2014 tätig ist und iranische Infrastruktur nutzt, die zur Zuordnung zum Iran führte, womöglich identisch mit der Gruppe OilRig. Im Fokus stehen strategisch relevante Unternehmen im Nahen Osten. APT34 benutzte eine Reihe von speziellen Tools (Powbat, Powrunner, Bondupdater), um einen inzwischen gepatchten Microsoft Office-Exploit zu verwenden. In eine ähnliche Richtung zielt die Gruppe APT39/Chafer, die auch seit 2014 aktiv ist und eine abgewandelte Powbat-Version einsetzt.
Das US Department of Justice (DoJ) gab im April 2018 einen großangelegten Angriff auf 320 Universitäten bekannt, u.a. 23 Universitäten in Deutschland, wo dann Papers, Dissertationen und Konferenzberichte veröffentlicht wurden. Zuerst wurde die Uni Göttingen attackiert, dann 22 weitere Universitäten in Hessen und NRW mit phishing-Mails und falschen Bibliotheksseiten. Ein Institut namens Mabna in Teheran betrieb die Website Megapaper, wo sich die Dateien wiederfanden.
5.8.4 APT35/Charming Kitten/Phosphorus/Newcaster/Cleaver
Die Gruppe ist auch unter vielen anderen Namen bekannt: Operation Cleaver, Tarh Andishan, Alibaba, 2889, TG-2889, Cobalt Gypsy, Rocket_Kitten, Cutting Kitten, Group 41, Magic Hound, TEMP.Beanie, Ghambar.
Im Fokus stehen Regierungs-Einrichtungen sowie der Energie- und Technologiesektor, der in Saudi-Arabien lokalisiert ist oder mit diesem Geschäfte macht. Am 27.03.2020 meldeten Zeitungen, dass Microsoft 99 Domains von APT35 übernehmen und schließen konnte. Im Jahr 2020 sollen die APT 35 und der chinesische APT31 auf den US-Wahlkampf abzielen.
5.8.5 APT39/Chafer
Wie APT34 verwendet auch der APT39 / Chafer, der seit 2014 aktiv ist, eine modifizierte Powbat-Version. Tätigkeitsbereiche sind die Telekommunikations-und Reisebranche (was möglicherweise auf die Überwachung bestimmter Personen hinweist) und Regierungseinheiten im Nahen Osten.
Klaus Saalbach; 2020
https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598 (https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598)
https://creativecommons.org/licenses/by/3.0/de/
Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.