Operation Woolen-Goldfish: Hackerangriff auf Israel und Deutschland

Trend Micro hat einen Hackerangriff aufgedeckt, hinter dem eine von der iranischen Regierung gesponserte Gruppe Cyberkrimineller mit dem Namen „Rocket Kitten“ stecken soll. Die Operation „Woolen-Goldfish“ richtete sich gegen Behörden in Deutschland, akademische Einrichtungen in Israel sowie europäische Organisationen und Unternehmen. Ihnen gemeinsam sei, dass sie sich „in der einen oder anderen Weise mit Iran beschäftigen“, heißt es in einer Pressemitteilung von Trend Micro.

Das Sicherheitsunternehmen vermutet, dass die Ziele über Informationen verfügen, die für die Regierung des Iran interessant sein könnten. Zudem will Trend Micro ein Mitglied der Gruppe enttarnt haben: Bei dem Hacker „Wool3n.H4t“, der den Angriff wohl geleitet hat, könne es sich um Mehdi Madavi handeln, so Trend Micro weiter.

Die Hacker sollen ihre Ziele mit speziell präparierten Spear-Phishing-E-Mails dazu verleitet haben, Spionagesoftware zu installieren. Dafür nahmen sie unter anderem die Identität eines israelischen Ingenieurs und einer bekannten Persönlichkeit aus dem israelischen Verteidigungssektor an. Ein Klick auf einen in der E-Mail enthaltenen Link war laut Trend Micro ausreichend, um einen Rechner zu infizieren. Anschließend zeichnete ein Keylogger alle Tastatureingaben auf und sendete die Informationen an einen Befehlsserver in Deutschland.

Die Malware selbst, die Trend Micro „Tspy_Woolerg.A“ nennt, sei „ganz neu“ und wahrscheinlich von einem Mitglied der Hackergruppe entwickelt worden. Trend Micro beschreibt sie als eine in einer Archivdatei enthaltene ausführbare Datei, die sich als PowerPoint-Dokument tarnt.

„Die Angriffsmethode ist nicht neu und die Spionagesoftware ist auch nicht von außergewöhnlicher Qualität. Das tut dem Erfolg der Attacke allerdings keinen Abbruch, schließlich wurden zahlreiche Ziele infiltriert“, erklärte Udo Schneider, Pressesprecher von Trend Micro. „Selbst geschulte Anwender und Geheimnisträger dürften hin und wieder der Versuchung erliegen, eine E-Mail zu öffnen, die vermeintlich von einem legitimen Absender stammt. Voraussetzung ist nur, dass der Inhalt stimmt. Und dies scheint bei Woolen-Goldfish der Fall zu sein. Die Vermutung liegt nahe, dass sowohl Wool3n.H4t als auch seine Auftraggeber aus dem Iran kommen.“

Rocket Kitten macht Trend Micro auch für eine frühere Kampagne mit ähnlichen Zielen verantwortlich. Dabei wurde die Schadsoftware Ghole eingeschleust, die allerdings mehr Nutzerinteraktion voraussetzt als die neue für Woolen-Goldfish verwendete Malware. Auch hier versteckten die Angreifer ihre Spionagesoftware in einem Microsoft-Office-Dokument.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de