Keyfacts
- entdeckt: 2013
- sicher aktiv seit: unbekannt
- letzte Aktualisierung: April 2014
- Verbreitung: USA, insbesondere bei Militär-Zulieferern und Rüstungsfirmen
- Infektion und Replikation: Infizierte gefakte Webseiten (Watering hole attacks), gezielt versandte E-Mails (Spear phishing)
- Hauptziel: Spionage, Industriespionage, US-Militär-Unternehmen
- Vermutliche Herkunft: Iran
Relevante Dokumente
- IRANIAN HACKERS TARGET US DEFENSE CONTRACTORS (Q: Threatpost.com)
- Operation Saffron Rose (Q: FireEye.com)
- Cyber experts warn Iranian hackers becoming more aggressive (Q: Reuters.com1)
Die Schadsoftware „Stealer“ ist weniger aufgrund ihrer Funktionalität (die im wesentlichen aus bekannten Spionage- und Datendiebstahl besteht) oder wegen der angegriffenen Ziele (US-Firmen, insbesondere aus dem Bereich von Rüstung und Militärzulieferern) relevant als vielmehr aufgrund ihrer Herkunft. Die Malware wird einer Hackergruppe namens „Ajax Security Team“ zugeschrieben, deren Gründungsmitglieder lt. Threatpost bereits aufgrund früherer Webseite-„Defacements“ bekannt sind (also das gezielte Hacken und Verändern von Webseiten zu politischen oder aktivistischen Zwecken). Diese Defacements bezogen sich vor allem auf die politische Rechtfertigung der iranischen Regierung. Stealer selbst stellt dahingehend eine deutliche Veränderung des Vorgehens dieser Gruppe dar und wird in internationalen Kreisen als Zeichen der progressiveren sicherheitspolitischen Ausrichtung des Iran im Cyberspace bewertet. Laut Analysten lässt sich aktuell keine sichere Verbindung der Hackergruppe zu staatlichen Institutionen herstellen. Allerdings wurden neben der Kampagne gegen die US-Rüstungsfirmen auch Nutzer einer Software angegriffen, die spezielle Tools zum Umgehen der iranischen Internetzensur benutzt haben. Die Rechner der meisten Ziele dieser zweiten Kampagne hatten ihre Systemzeit auf die Iranische Standardzeit gestellt oder benutzten persische Spracheinstellungen, was als weiteres Indiz für die Herkunft von Stealer gewertet wird.
While the objectives of this group are consistent with Iran’s efforts at controlling political dissent and expanding offensive cyber capabilities, the relationship between this group and the Iranian government remains inconclusive,” the researchers said (..) „We believe that attackers disguised malware as anti-censorship tools in order to target the users of such tools inside Iran as well as Iranian dissidents outside the country” (Q: Threatpost)
Using „Stealer,“ Ajax ran a separate operation that targeted people who were using software to try to circumvent Iran’s system for censoring content, such as pornography and political opposition sites, FireEye said (..) FireEye had also uncovered evidence that Ajax engaged in credit card fraud, which suggests the hackers were not under the direct control of the Iranian government. (Q: Reuters)