Sicherheitsforscher von Check Point deckten eine sechs Jahre währende Spionage-Kampagne iranischer Behörden gegen Abweichler auf. In deren Verlauf wurde das beliebte Nachrichtenprogramm Telegram missbraucht, um die Kommunikation der Ziele zu belauschen
San Carlos, Kalifornien – 24. September 2020 – „Obwohl Telegrams Nachrichten nicht zu entschlüsseln sind, kann der Dienst eindeutig durch Hacking geknackt werden“, erklärt Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies. Kürzlich haben er und seine Kollegen eine Spionage-Kampagne iranischer Behörden enttarnt. Die Ziel-Personen scheinen handverlesen gewesen zu sein.
Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) fanden heraus, dass über sechs Jahre lang Abweichler, auch im Ausland, überwacht wurden. Gefahren wurde der Angriff über mehrere Wege – darunter der Missbrauch von Telegram, um die Kommunikation auszulesen. „Die Überwachung von Diensten für Sofortnachrichten, insbesondere des vermeintlich als unantastbar geltenden Telegram, ist so allgegenwärtig, dass sich jeder Nutzer über diese Möglichkeit im Klaren sein sollte,“ so Finkelsteen weiter. Neben dem Lauschangriff gegen Telegram kamen andere, übliche Verfahren zum Einsatz, wie Phishing und Hacking-Attacken gegen Mobilgeräte, Computer und Web-Anwendungen. „Diese Versuche lassen sich eindeutig derselben Operation zuordnen, was belegt, dass sie im Auftrag nachrichtendienstlicher und nationaler Interessen geschehen“, erläutert Finkelsteen. Unter anderem wurden die Mikrofone der Smartphones angezapft, um die Umgebungsgeräusche mitzuschneiden, und die Codes von Zwei-Faktor-Authentifizierungen ausgelesen, um Konten einzusehen. Außerdem hingen alle Ereignisse in Bezug auf die Angriffswege zusammen.
Malware-verseuchte Dokumente, die sich als saubere Dateien tarnten und über Phishing geliefert wurden, führten bei Öffnung dazu, dass die Nutzer die Kontrolle über ihre Telegram-Konten verloren – ohne es zu merken. Die hauptsächliche Aufgabe dieser Malware war es, so viele Informationen zu stehlen, wie möglich. Ihre Ziele waren zwei Apps: Telegram Desktop und KeePass, der sehr bekannte Passwort-Manager. Der Schädling war in der Lage, alle wichtigen Telegram-Dateien auf den Server der Angreifer zu übertragen, um diesen volle Kontrolle über das Telegram-Konto zu ermöglichen. Er konnte sogar Informationen aus dem Bereich des Passwort-Managers stehlen, lud jede Datei einer definierten Endung hoch, protokollierte die Zwischenablage und machte heimlich Screenshots. Um der Enttarnung und Entfernung zu entgehen, implementierte die Malware außerdem einen Mechanismus, der auf dem Update-Prozess von den Telegram selbst basiert.
Zusätzlich fanden die Sicherheitsforscher eine unbekannte Hintertür im Android-Betriebssystem, die während der Kampagne ausgenutzt wurde. Diese tarnt sich als Sprachdienst, der persisch sprechenden Iranern in Schweden dabei helfen soll, ihren Führerschein zu bestehen. In Wirklichkeit ist die App in der Lage, sämtliche SMS eines Mobilgeräts zu stehlen und heimlich die Audio-Aufnahme-Funktion des Handys zu starten. Darüber hinaus kann sie jede Zwei-Faktor-SMS unbemerkt an eine Telefonnummer weiterleiten, die vom Command-and-Control-Server der Angreifer bestimmt wird und personenbezogene Daten, wie Kontakte, auslesen. Schließlich kann sie Phishing gegen Google betreiben und systemrelevante Informationen des Geräts auslesen, wie installierte Anwendungen und laufende Prozesse.
Als würde das nicht genügen, haben einige mit der Kampagne in Verbindung stehende Webseiten sich als Telegram-Seiten ausgegeben – waren jedoch für Phishing bestimmt. Überraschend für die Sicherheitsforscher war die Entdeckung, dass einige iranische Telegram-Kanäle vor diesen Fälschungen gewarnt haben und behaupteten, die Regierung stecke dahinter. Laut diesen würden die zugehörigen Phishing-Nachrichten durch einen Telegram-Bot versendet. Die Nachrichten selbst machten den Ziel-Personen Angst, weil diese angeblich ihre Telegram-Konten inkorrekt nutzten und gesperrt würden, falls sie nicht dem beigefügten Link folgten. Einer der warnenden Telegram-Kanäle zeigte sogar Screenshots des Phishings und deckte dabei auf, dass die Angreifer das offizielle Telegram-Konto nachahmten. Um legitim zu erscheinen, schickte dieses Konto fünf Tage vor der Phishing-Nachricht einen Hinweis an die Ziel-Personen, dass ein neues Programm-Update bevorstünde.
Es ist nicht das erste Mal, dass Telegram von Aktivisten genutzt wurde, weil sie glaubten, sie seien absolut sicher vor Überwachung, um dann von einer bösen Überraschung aufgeweckt zu werden. Bereits 2019, während der Hochphase der Proteste in Hongkong gegen ein Auslieferungsgesetz nach China wurde Telegram mehrfach ins Visier genommen. Im Juni war bekannt geworden, dass sehr viele Cyber-Angriffe von chinesischen IP-Adressen ausgingen und die Kommunikation stark störten. Im August kam dann die Nachricht, dass wohl eine Sicherheitslücke von chinesischen Behörden ausgenutzt wurde, um Telefonnummern auszulesen, Chat-Gruppen zu überwachen und einzelne Personen zu identifizieren. Vor Kurzem, im Juni 2020, zeigte sich zudem, dass die Daten von Millionen von Telegram-Nutzern im Darknet gelandet sind, weil der Import-Dienst der App von Hackern geknackt und eine Datenbank in der Größe von 900 Megabyte gestohlen wurde. Interessant daran ist vor allem in diesem Zusammenhang, dass laut Telegram 70 Prozent der betroffenen Konten aus dem Iran stammen sollen.
Alle Erkenntnisse der Sicherheitsforscher von Check Point über den iranischen Lauschangriff lesen Sie unter: https://research.checkpoint.com/2020/rampant-kitten-an-iranian-espionage-campaign/
