Naikon APT stiehlt geopolitische Daten im Südchinesischen Meer

19 Mai 2015

Die chinesischsprachige Advanced-Persistent-Threat-Gruppe Naikon zielt auf militärische, behördliche und zivile Organisation im Südchinesischen Meer ab, einem immer kontroverseren Nährboden für Territorialkonflikte zwischen verschiedenen südasiatischen Ländern.

Naikon ist auch unter dem Namen APT-30 aktiv. Die Gruppe zielt laut einem neuen Bericht von Kasperskys Global Research and Analysis Team vor allem auf die Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur und Nepal ab.

Naikon-APT_map_finWie viele APT-Kampagnen, so infiziert auch Naikon seine Opfer über Spear-Phishing-E-Mails, in denen schädliche ausführbare Dateien, getarnt als wichtige Dokumente, enthalten sind. Werden diese geöffnet, öffnet sich ein falsches Dokument, während eine ausführbare Datei heimlich eine alte Sicherheitslücke in Microsoft Office ausnutzt und ein Schadprogramm auf dem Computer installiert.

Die APT-Gruppe hat seit fünf Jahren kulturelle Kontaktpersonen in jedem der angegriffenen Länder aufgebaut. Auf diese Art und Weise kann Naikon kulturelle Eigenheiten ausnutzen, etwa die Verwendung persönlicher E-Mail-Adressen für geschäftliche Zwecke. Die Angreifer nutzen das aus, indem sie E-Mail-Adressen einrichten, die den echten sehr ähnlich sind – damit können sie effektivere Phishing-Nachrichten versenden.

Die Gruppe hat auch Teile ihrer Command-and-Control-Infrastrutkur in den den entsprechenden Ländern installiert, um täglichen Support für Echtzeitverbindungen und Datendiebstahl zu ermöglichen. Zudem können sie auch den Datenverkehr über ganze Opfernetzwerke abfangen und 48 Remote-Kommandos versenden, inklusive der Übernahme kompletter Verzeichnisse von Systemdateien, dem Download und Upload von Daten, der Installierung von Add-On-Modulen und der Arbeit mit Command Lines oder Prompts.

Diese 48 Kommandos erlauben den Cyberkriminellen, die komplette Kontrolle über Naikon-infizierte Maschinen zu übernehmen. Das oberste Ziel von Naikon ist es, geopolitische Informationen zu sammeln.

Die Kriminellen hinter den Naikon-Angriffen entwickelten eine flexible Infrastruktur, die in jedem Zielland aufgebaut werden kann.

„Die Kriminellen hinter den Naikon-Angriffen entwickelten eine sehr flexible Infrastruktur, die in jedem Zielland aufgebaut werden kann, und Informationen von den Opfercomputern zum Command-Center sendet“, erklärt Kasperskys Principle Security Researcher Kurt Baumgartner. „Wenn die Angreifer beschließen, ein anderes Ziel in einem anderen Land anzugreifen, bauen sie einfach eine neue Verbindung auf. Dass dedizierte Bediener eingesetzt werden, die sich auf bestimmte Ziele konzentrieren, macht es für die Naikon-Spionagegruppe recht einfach.“

In einem Land, dessen Name Kaspersky Lab nicht nennt, schafften es die Naikon-Hacker, das Büro des Präsidenten, Militäreinrichtungen, das Büro des Kabinettssekretärs, den nationalen Sicherheitsrat, das Büro des Generalstaatsanwalts, die nationale Spionagekoordination, die zivile Luftfahrtbehörde und Einrichtungen des Justizministeriums sowie der Bundespolizei zu kompromittieren.

Die Experten von Kaspersky Lab empfehlen Anwendern, keine Anhänge in Mails von Menschen, die Sie nicht kennen, zu öffnen, eine zuverlässige Sicherheitslösung zu verwenden und das Betriebssystem und alle Programm aktuell zu halten.