FYI.

This story is over 5 years old.

Tech

Pro-Gaza-Hacker greifen Isreal über deutsche Server mit Porno-Videos an

Sicherheitsforscher haben Hacker-Operationen aufgedeckt, bei denen palästinensische Cyber-Aktivisten die israelischen Schutzmechanismen überlisten konnten und hochrangige Forschungseinrichtungen infizierten.
Ausschnitt eines Facebook-Profils von Khalid Samraa, über dessen mutmaßliche E-Mail-Adresse die Befehlsserver laut Trend Micro angemeldet wurden. Bild: Trend Micro.

Der Angriff beginnt im Stile eines 90er-Jahre Virus: Ein israelischer Regierungsmitarbeiter öffnet an seinem Arbeitsplatz eine E-Mail, die ein Porno-Video auf seinem Rechner startet und speichert. Während der Angestellte hastig versucht, seinen Rechner herunterzufahren, wird ein Hacker im Gaza-Streifen über eine weitere erfolgreiche Infektion eines seiner Ziele benachrichtigt.

Der Phishing-Angriff, den die Sicherheitsforscher von ​Trend Micro jetzt aufdeckten, nutzt dabei die bewährte Porno-Tarnung allerdings nicht als Click-Anreiz sondern, um sich die anschließende Scham der Opfer zunutze zu machen. Die Betroffenen wollen den peinlichen Zwischenfall schnell vergessen und, dass sie ihn bei ihren Systemadministratoren melden ist eher unwahrscheinlich.

Anzeige

Die Hacker-Angriffe, die die Forscher auf den Namen Operation Arid Viper und Operation Adtravel tauften, laufen dabei bereits seit 2013. Den palästinensischen Hackern ist es gelungen mindestens eine akademische Einrichtung, das israelische Militär und Ziele im Regierungsnetz zu infizieren.

Da sich die Phishing-E-Mails gezielt gegen bestimmte Mitarbeiter richteten, gelang es den Hackern, über einen längeren Zeitraum das berüchtigte ​Iron-Dome-Schutzschild zu überwinden, mit dem Israel auch seine digitale Infrastruktur vor seinen Feinden abzuschirmen versucht.

Ein Ausschnitt eines Facebook-Profils von Khalid Samraa, über dessen mutmaßliche E-Mail-Adresse die Befehlsserver laut Trend Micro angemeldet wurden.

Ein Ausschnitt eines Facebook-Profils von Khalid Samraa, über dessen mutmaßliche E-Mail-Adresse die Befehlsserver laut Trend Micro angemeldet wurden. Bild: Trend Micro

Eine Liste der betroffenen Seiten, die von der an Operation Arid Viper beteiligten Grupp Dev_hima angegriffen wurde.

Eine Liste der betroffenen Seiten, die von der an Operation Arid Viper beteiligten Grupp Dev_hima angegriffen wurde. Bild: Trend Micro

Nachdem ein Regierungsmitarbeiter erfolgreich zur Öffnung des E-Mail-Anhangs verführt war, wurde sein Rechner durch eine mit Skype-Symbol getarnte .exe Datei infiziert, die neben dem Porno-Video (eine .flv oder .mpg Datei) auf seinem Rechner abgelegt wurde.

Während das Video läuft, wird auch eine Serververbindung hergestellt, die den Angreifer benachrichtigt, und gleichzeitig überprüft, ob es sich um ein neu infiltriertes System handelt. Schließlich wird weitere Malware nachgeladen, die dann Informationen von den Zielrechnern abschöpft. Auch wenn die Angreifer große Mühe auf das Eindringen in die Systeme aufwendeten, ging es den Hackern bei Operation Arid Viper vor allem um das Abschöpfen sensibler Daten ihrer Opfer.

Die Struktur der Befehlsserver.

Die Struktur der Befehlsserver. Bild: Trend Micro.

Die Command und Control Server, die die Angriffe steuerten, lokalisierten die Sicherheitsforscher von Trend Micro in Deutschland. Die Befehlsserver nutzten dabei Domains wie mediahitech.com, flashupdate.com oder ahmedfaiez.com und wurden allesamt vom deutschen Anbieter Hetzner gehostet.

Angemeldet wurden mehrere dieser Domains über die E-Mail-Adresse khalid.samraa@gmail.com. Wie Trend Micro zurecht anmerkt, muss dies selbstverständlich kein abschließender Beleg dafür sein, dass Khalid Samraa tatsächlich für die Angriffe verantwortlich ist oder an ihnen beteiligt war. (Es ist beispielsweise auch denkbar, dass seine Accounts gehackt und genutzt wurden).

Die Sicherheitsforscher vermuten, dass hinter den Angriffen größere Strukturen stecken, die es den ideologischen Pro-Gaza-Hackern ermöglichen, ihre Ziele anzugreifen: „Unsere These, die wir gerade weiterverfolgen, ist, dass es vielleicht eine Dachorganisation oder Untergrund-Community gibt, die arabische Hacker im Kampf gegen vermeintliche Feinde des Islam unterstützt. Sie bereiten wahrscheinlich die Infrastruktur vor, schlagen Ziele vor und so weiter."

Israelische Stellen haben sich bisher nicht zu dem Angriff geäußert.