Cyberattacke auf pakistanisches Militärziel: CPR legt Beweise vor, die eine APT-Gruppe aus Indien damit in Verbindung bringen
Frühere Angriffe und die verwendete Malware legen nahe, dass es sich dabei um die mutmaßlich indische Gruppe „Sidewinder“ handelt.
San Carlos, Kalifornien, USA – 13. Juli 2022 – Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), berichtet über Beweise, die aufzeigen, dass das Hauptquartier der pakistanischen Luftwaffe Opfer eines erfolgreichen Angriffs von „Sidewinder“, einer mutmaßlich in Indien ansässigen APT-Gruppe (Advanced Persistent Threats), wurde.
Im Mai 2022 wurden mehrere Malware-Samples und zwei verschlüsselte Dateien, die mit dem Angriff in Verbindung stehen, bei VirusTotal hochgeladen. Nach der Entschlüsselung der Dateien stellte CPR fest, dass es sich bei einer von ihnen um eine .NET-DLL handelt, die mit der APT-Gruppe „Sidewinder" in Verbindung steht. Diese wird nach Indien verortet und greift bekanntermaßen Einrichtungen in Pakistan an. Bei der Malware, die in der Spionageoperation verwendet wurde, handelt es sich um eine Malware zum Stehlen von Informationen, die ausschließlich von dieser Gruppe verwendet wird und normalerweise zum Stehlen von Dokumenten der folgenden Typen eingesetzt wird: .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip.
Die zweite Datei, die CPR entschlüsseln konnte, war sehr aussagekräftig. Sie wurde von der Informationsdiebstahl-Malware erstellt und enthielt eine Liste aller relevanten Dateien auf dem infizierten Computer. Bei der Betrachtung der gesammelten Namen fand CPR eine Mischung von Dateien zu verschiedenen Themen, von denen die meisten mit Militär und Luftfahrt zu tun haben, die übrigen mit Kommunikation, Nuklearanlagen, Hochschulbildung, Kriegsgeschichte, Architektur und Elektrizität. Darüber hinaus wiesen einige Dateipfade auf Dokumente des „Chairman Joint Chiefs of Staff Committee“ hin, angeblich der ranghöchste Offizier im pakistanischen Militär. Insgesamt wurden viele Dateipfade in Dateien (ungefähr 20 000 Dateinamen) entdeckt, wobei die Menge von zwei Megabyte darauf hindeutet, dass ein infizierter Rechner von mehreren Personen innerhalb der Organisation benutzt wurde oder Zugang zu einem gemeinsamen Laufwerk hatte.
Aus den Namen der Dateien und Verzeichnisse konnte CPR auch die Benutzernamen des Opfers entnehmen, darunter „AHQ-STRC3“. Dies und andere Elemente in den Dateinamen deuten darauf hin, dass „AHQ“ für Air Headquarters Pakistan steht, das Hauptquartier der pakistanischen Luftwaffe. Es gibt auch Dokumente, die in ihren Dateinamen ausdrücklich das Hauptquartier der Luftwaffe erwähnen, was die Verbindung zwischen dem „AHQ“ im Benutzernamen und der pakistanischen Luftwaffe verstärkt. Bei den Untersuchungen wurde ein weiterer Benutzername namens „gnss“ gefunden, der leider keine brauchbaren Hinweise lieferte, obwohl eine andere Vermutung lauten könnte, dass sich dies auf Global Navigation Satellite System bezieht. Die gesichteten Dateien enthielten auch Namen, die sich auf die Satellitenkommunikation bezogen, was auf Daten in diesem Bereich schließen lässt.
Während die Analyse von Malware-Dateien, die auf VirusTotal hochgeladen wurden, oft die Identität der Ziele der Angriffskampagne offenbart, ist es ungewöhnlich, dass auch Beweise dafür gefunden werden, dass der Angriff tatsächlich erfolgreich war. In diesem Fall konnte CPR feststellen, dass eine von der Malware erstellte Protokolldatei die Identität der Opfer enthüllte, einschließlich der Namen sensibler Dokumente und Systeme.
Dies lässt CPR vermuten, dass das Eindringen schließlich vom Opfer oder von Sicherheitsanalysten, die in dessen Auftrag tätig waren, entdeckt und analysiert wurde.
Die APT-Gruppe Sidewinder
„Sidewinder“ ist eine mutmaßlich indische APT-Gruppe, die sich stark auf pakistanische und chinesische Regierungsorganisationen konzentriert. Ende März 2022 veröffentlichte CPR eine Analyse des bösartigen Dokuments von „Sidewinder“, das den Russland-Ukraine-Konflikt ausnutzte. Dem Inhalt nach zu urteilen, waren die beabsichtigten Ziele des Angriffs pakistanische Einrichtungen. Das Köderdokument enthält das Dokument des National Institute of Maritime Affairs der Bahria University in Islamabad und trägt den Titel „Focused talk on Russian Ukraine Conflict Impact on Pakistan“.
Abbildung 1: Täuschungsdokument mit Bezug zum Russland-Ukraine-Krieg, aus einem früheren Angriff der „Sidewinder“ APT-Gruppe
Weitere Informationen finden Sie im Check Point Blog: +++
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
Cyberattacke auf pakistanisches Militärziel: CPR legt Beweise vor, die eine APT-Gruppe aus Indien damit in Verbindung bringen
Frühere Angriffe und die verwendete Malware legen nahe, dass es sich dabei um die mutmaßlich indische Gruppe „Sidewinder“ handelt.
San Carlos, Kalifornien, USA – 13. Juli 2022 – Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), berichtet über Beweise, die aufzeigen, dass das Hauptquartier der pakistanischen Luftwaffe Opfer eines erfolgreichen Angriffs von „Sidewinder“, einer mutmaßlich in Indien ansässigen APT-Gruppe (Advanced Persistent Threats), wurde.
Im Mai 2022 wurden mehrere Malware-Samples und zwei verschlüsselte Dateien, die mit dem Angriff in Verbindung stehen, bei VirusTotal hochgeladen. Nach der Entschlüsselung der Dateien stellte CPR fest, dass es sich bei einer von ihnen um eine .NET-DLL handelt, die mit der APT-Gruppe „Sidewinder" in Verbindung steht. Diese wird nach Indien verortet und greift bekanntermaßen Einrichtungen in Pakistan an. Bei der Malware, die in der Spionageoperation verwendet wurde, handelt es sich um eine Malware zum Stehlen von Informationen, die ausschließlich von dieser Gruppe verwendet wird und normalerweise zum Stehlen von Dokumenten der folgenden Typen eingesetzt wird: .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip.
Die zweite Datei, die CPR entschlüsseln konnte, war sehr aussagekräftig. Sie wurde von der Informationsdiebstahl-Malware erstellt und enthielt eine Liste aller relevanten Dateien auf dem infizierten Computer. Bei der Betrachtung der gesammelten Namen fand CPR eine Mischung von Dateien zu verschiedenen Themen, von denen die meisten mit Militär und Luftfahrt zu tun haben, die übrigen mit Kommunikation, Nuklearanlagen, Hochschulbildung, Kriegsgeschichte, Architektur und Elektrizität. Darüber hinaus wiesen einige Dateipfade auf Dokumente des „Chairman Joint Chiefs of Staff Committee“ hin, angeblich der ranghöchste Offizier im pakistanischen Militär. Insgesamt wurden viele Dateipfade in Dateien (ungefähr 20 000 Dateinamen) entdeckt, wobei die Menge von zwei Megabyte darauf hindeutet, dass ein infizierter Rechner von mehreren Personen innerhalb der Organisation benutzt wurde oder Zugang zu einem gemeinsamen Laufwerk hatte.
Aus den Namen der Dateien und Verzeichnisse konnte CPR auch die Benutzernamen des Opfers entnehmen, darunter „AHQ-STRC3“. Dies und andere Elemente in den Dateinamen deuten darauf hin, dass „AHQ“ für Air Headquarters Pakistan steht, das Hauptquartier der pakistanischen Luftwaffe. Es gibt auch Dokumente, die in ihren Dateinamen ausdrücklich das Hauptquartier der Luftwaffe erwähnen, was die Verbindung zwischen dem „AHQ“ im Benutzernamen und der pakistanischen Luftwaffe verstärkt. Bei den Untersuchungen wurde ein weiterer Benutzername namens „gnss“ gefunden, der leider keine brauchbaren Hinweise lieferte, obwohl eine andere Vermutung lauten könnte, dass sich dies auf Global Navigation Satellite System bezieht. Die gesichteten Dateien enthielten auch Namen, die sich auf die Satellitenkommunikation bezogen, was auf Daten in diesem Bereich schließen lässt.
Während die Analyse von Malware-Dateien, die auf VirusTotal hochgeladen wurden, oft die Identität der Ziele der Angriffskampagne offenbart, ist es ungewöhnlich, dass auch Beweise dafür gefunden werden, dass der Angriff tatsächlich erfolgreich war. In diesem Fall konnte CPR feststellen, dass eine von der Malware erstellte Protokolldatei die Identität der Opfer enthüllte, einschließlich der Namen sensibler Dokumente und Systeme.
Dies lässt CPR vermuten, dass das Eindringen schließlich vom Opfer oder von Sicherheitsanalysten, die in dessen Auftrag tätig waren, entdeckt und analysiert wurde.
Die APT-Gruppe Sidewinder
„Sidewinder“ ist eine mutmaßlich indische APT-Gruppe, die sich stark auf pakistanische und chinesische Regierungsorganisationen konzentriert. Ende März 2022 veröffentlichte CPR eine Analyse des bösartigen Dokuments von „Sidewinder“, das den Russland-Ukraine-Konflikt ausnutzte. Dem Inhalt nach zu urteilen, waren die beabsichtigten Ziele des Angriffs pakistanische Einrichtungen. Das Köderdokument enthält das Dokument des National Institute of Maritime Affairs der Bahria University in Islamabad und trägt den Titel „Focused talk on Russian Ukraine Conflict Impact on Pakistan“.
Abbildung 1: Täuschungsdokument mit Bezug zum Russland-Ukraine-Krieg, aus einem früheren Angriff der „Sidewinder“ APT-Gruppe
Weitere Informationen finden Sie im Check Point Blog: +++
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.