Cyber-Angriff auf Israel: Spionage-on-Demand?

Es folgt die Einschätzung von Udo Schneider, Solution Architect beim IT-Sicherheitsanbieter Trend Micro: Vor wenigen Wochen gingen Berichte über gezielte Spionageangriffe mit verseuchten E-Mail-Anhängen auf israelische Behörden im In- und Ausland durch die Presse. Die Hintermänner scheinen sich allerdings nicht ausschließlich auf das Ausspionieren von israelischen Geheimnissen zu konzentrieren. Seit über einem Jahr werden mit denselben, im digitalen Untergrund weit verbreiteten Schädlingen auch palästinensische Einrichtungen, aber auch syrische Aktivisten und andere attackiert. Die Täter scheinen nach Recherchen Trend Micros immer dieselben zu sein und nach dem Motto „Welches Land darf ich für Sie ausspionieren?“ zu verfahren.

Auf Basis aktueller Nachforschungen von Experten der Kollegen von Norman sowie dem Sicherheitsspezialisten Brian Krebs haben die Forscher bei Trend Micro sich auf die Suche nach den Hintermännern der E-Mail-Attacke gemacht. Dabei stießen sie auf einen Autor mit dem Pseudonym „aert“, der sich auf einem Internetforum zu verschiedenen digitalen Schädlingen wie „DarkComet“ und „Xtreme RAT“ geäußert hat.

Während „DarkComet“ bei den meisten Attacken gegen syrische Oppositionelle eingesetzt wurde, verwendeten die Cyberspione bei dem jüngsten Angriff gegen Palästinenser sowie Einrichtungen der israelischen Regierung den Hintertürschädling „Xtreme RAT“. Dabei handelt es sich um einen so genannten Trojaner, der für den Diebstahl von Informationen und die Ausführung von Befehlen durch einen aus der Ferne agierenden Angreifer konzipiert wurde.

Nicht nur bei dem Angriff auf israelische Einrichtungen, sondern auch im Laufe der gesamten Spionage-Kampagne tarnte sich der Schädling als vermeintlich interessanter Dokumentenanhang in einer E-Mail-Nachricht. Als Absender wurde stets eine Person ausgewählt, die dem jeweiligen Empfänger als absolut vertrauenswürdig erscheinen musste. Kann selbst ein geschulter Mitarbeiter des israelischen Außenministeriums widerstehen, einen Dateianhang zu öffnen, wenn dieser angeblich vom Oberbefehlshaber der Streitkräfte verschickt wurde?

Wir haben zwar noch keine Anhaltspunkte über die Motive der Angreifer. Die Tatsache aber, dass die betrügerischen E-Mails offenbar auch an Einrichtungen in den USA, Großbritannien, der Türkei und anderen geschickt wurde, zeigt, dass sich irgendjemand ein Bild von politisch wertvollen Informationen zur Lage im Nahen Osten machen wollte. Fakt ist auch, dass dabei eine auf dem digitalen Schwarzmarkt leicht zu beschaffende Spionagesoftware verwendet wurde. Vielleicht handelt hier ein eher „gewöhnlicher“ Cyberkrimineller im Auftrag Dritter, der seine Dienste meistbietend verkauft. Cyberspionage, nicht nur für wirtschaftliche, sondern auch politische Zwecke wird möglicherweise zu einer frei handelbaren Ware.