Thought Leadership
Die berüchtigte Advanced Persistent Threat (APT)-Gruppe SideWinder hat ihre Angriffstaktiken verfeinert und ihre geografische Reichweite erheblich ausgeweitet. Laut aktuellen Analysen von Kaspersky nimmt die Gruppe nun gezielt Atomkraftwerke und Energieeinrichtungen ins Visier.
Besonders betroffen sind Unternehmen in Afrika, Südostasien und Europa – darunter auch in Österreich.
SideWinder erweitert sein Angriffsziel
Bereits seit 2012 ist SideWinder für gezielte Cyberangriffe bekannt, die sich bisher hauptsächlich gegen Regierungs-, Militär- und diplomatische Einrichtungen richteten. Nun hat die Gruppe ihr Zielspektrum erweitert und attackiert maritime Infrastruktur- und Logistikunternehmen in ganz Südostasien, während sie gleichzeitig verstärkt den Nuklearsektor ins Visier nimmt.
Neue Angriffsmethoden und Schwachstellen
Kaspersky-Experten registrierten einen Anstieg von Attacken auf Kernkraftwerke und Energieerzeugungsanlagen. Dabei setzen die Angreifer Spear-Phishing-E-Mails und schädliche Dokumente ein, die mit branchenspezifischer Terminologie versehen sind. Regulatorische und anlagenspezifische Themen dienen als Köder, um das Vertrauen der Opfer zu gewinnen.
Ein zentrales Element der Angriffe ist die Ausnutzung einer bereits älteren Microsoft-Office-Sicherheitslücke (CVE-2017-11882). Trotz des Alters dieser Schwachstelle zeigt sich SideWinder hochflexibel und in der Lage, seine Werkzeuge schnell anzupassen, um Erkennungssysteme zu umgehen. Wird ein infiziertes Dokument geöffnet, beginnt eine Angriffskette, die Angreifern Zugriff auf Betriebsdaten, Forschungsprojekte und Personaldaten von Kernkraftwerken ermöglicht.
„Wir sehen nicht nur eine geografische Expansion, sondern auch eine strategische Weiterentwicklung der Fähigkeiten und Ambitionen von SideWinder“, erklärt Vasily Berdnikov, Lead Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die Gruppe kann nach einer Erkennung aktualisierte Malware-Varianten mit einer bemerkenswerten Geschwindigkeit einsetzen und verändert damit die Bedrohungslandschaft enorm. Statt einer reaktiven Bekämpfung wird dadurch eine nahezu in Echtzeit stattfindende Reaktion nötig.“
Kaspersky konnte SideWinder-Aktivitäten in 15 Ländern nachweisen. Insbesondere Dschibuti war Ziel zahlreicher Angriffe, bevor der Fokus auf Ägypten verlagerte. Weitere Attacken wurden in Mosambik, Österreich, Bulgarien, Kambodscha, Indonesien, den Philippinen und Vietnam beobachtet. Auch diplomatische Vertretungen in Afghanistan, Algerien, Ruanda, Saudi-Arabien, der Türkei und Uganda gerieten ins Visier der Hackergruppe.
(vp/Kaspersky)
