Keyfacts
- entdeckt: 2014
- sicher aktiv seit: 2011
- letzte Aktualisierung: unbekannt
- Verbreitung: USA, Israel, UK, Saudi Arabien, Irak, Ziele waren hochrangige US-Militärs, diplomatisches Personal, Kongressmitarbeiter, Journalisten, Think Tanks und Rüstungsfirmen
- Infektion und Replikation: Spear phishing und Watering hole attacken, besonders mit Hilfe aufwändig erstellter falscher Social-Media-Kanäle und Account
- Vermutliche Herkunft: Iran
Relevante Dokumente
- NEWSCASTER – An Iranian Threat Inside Social Media (Q: iSightPartners)
- Iranian hackers are targeting U.S. officials through social networks, report says (Q: WashingtonPost)
Bei Newscaster handelt es sich um ein gezielte Kampagne gegen Einzelpersonen, die vermutlich als Bestandteil einer umfassenderen Social-Engineering-Kampagne durchgeführt wurde und deren Ziel in der Aquise von Online-Accounts hochrangiger Politik-, Militär- und Wirtschaftsvertreter bestand. Zu diesem Zweck wurden über mehrere Jahre hinweg Accounts (Facebook, Twitter, LinkedIn, Google+, YouTube, Blogger) sowie eine gefälschte Nachrichtenseiten aufgebaut und gepflegt.
The fake personas claim to work in journalism, government, and defense contracting. These accounts are elaborate and have created credibility using, among other tactics, a fictitious journalism website, newsonair.org, that plagiarizes news content from other legitimate media outlets.
Der Report von iSightPartners spricht von ca. 2000 Personen die auf diese Weise per Social-Media-Engineering angegriffen wurden. Die Zahl der tatächlich auf diese Weise gekaperten Accounts sowie der Umfang der entwendeten Informationen ist unbekannt. Die Art der Kampagne lässt aber darauf schließen, dass es vor allem darum ging, Zugangsdaten oder verwandte Informationen zu erbeuten, die für andere Systemzugänge verwendet werden können.
Newscaster ist insofern interessant, als dass es neben der Stealer/Ajax-Kampagne bereits die zweite, langfristig und professionell durchgeführte Cyberkampagne ist, die 2014 durch vermutlich iranische Stellen durchgeführt wurde und sich in der Komplexität der aufgebauten Fake-Accounts auszeichnet. Hinsichtlich der vermuteten Herkunft geben die Analysten von iSightPartner die folgende Erklärung:
Though the timing of the social network attack may seem irregular at first, over multiple years the schedule behind the activity becomes apparent. They maintained a regular schedule, including what appears to be a lengthy lunch break followed by the remainder of the work day. These hours conform to work hours in Tehran. Furthermore, the operators work half the day on Thursday and rarely work on Friday, the Iranian weekend. Other clues, such as the targets on which the operators have chosen to focus and additional technical indicators, lead us to believe NEWSCASTER originates in Iran.