Cyberattacke auf pakistanisches Militärziel: CPR legt Beweise vor, die eine APT-Gruppe aus Indien damit in Verbindung bringen

Computer crime concept.

Frühere Angriffe und die verwendete Malware legen nahe, dass es sich dabei um die mutmaßlich indische Gruppe „Sidewinder“ handelt.

 

Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), berichtet über Beweise, die aufzeigen, dass das Hauptquartier der pakistanischen Luftwaffe Opfer eines erfolgreichen Angriffs von „Sidewinder“, einer mutmaßlich in Indien ansässigen APT-Gruppe (Advanced Persistent Threats), wurde.

Im Mai 2022 wurden mehrere Malware-Samples und zwei verschlüsselte Dateien, die mit dem Angriff in Verbindung stehen, bei VirusTotal hochgeladen. Nach der Entschlüsselung der Dateien stellte CPR fest, dass es sich bei einer von ihnen um eine .NET-DLL handelt, die mit der APT-Gruppe „Sidewinder“ in Verbindung steht. Diese wird nach Indien verortet und greift bekanntermaßen Einrichtungen in Pakistan an. Bei der Malware, die in der Spionageoperation verwendet wurde, handelt es sich um eine Malware zum Stehlen von Informationen, die ausschließlich von dieser Gruppe verwendet wird und normalerweise zum Stehlen von Dokumenten der folgenden Typen eingesetzt wird: .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip.

Die zweite Datei, die CPR entschlüsseln konnte, war sehr aussagekräftig. Sie wurde von der Informationsdiebstahl-Malware erstellt und enthielt eine Liste aller relevanten Dateien auf dem infizierten Computer. Bei der Betrachtung der gesammelten Namen fand CPR eine Mischung von Dateien zu verschiedenen Themen, von denen die meisten mit Militär und Luftfahrt zu tun haben, die übrigen mit Kommunikation, Nuklearanlagen, Hochschulbildung, Kriegsgeschichte, Architektur und Elektrizität. Darüber hinaus wiesen einige Dateipfade auf Dokumente des „Chairman Joint Chiefs of Staff Committee“ hin, angeblich der ranghöchste Offizier im pakistanischen Militär. Insgesamt wurden viele Dateipfade in Dateien (ungefähr 20 000 Dateinamen) entdeckt, wobei die Menge von zwei Megabyte darauf hindeutet, dass ein infizierter Rechner von mehreren Personen innerhalb der Organisation benutzt wurde oder Zugang zu einem gemeinsamen Laufwerk hatte.

Aus den Namen der Dateien und Verzeichnisse konnte CPR auch die Benutzernamen des Opfers entnehmen, darunter „AHQ-STRC3“. Dies und andere Elemente in den Dateinamen deuten darauf hin, dass „AHQ“ für Air Headquarters Pakistan steht, das Hauptquartier der pakistanischen Luftwaffe. Es gibt auch Dokumente, die in ihren Dateinamen ausdrücklich das Hauptquartier der Luftwaffe erwähnen, was die Verbindung zwischen dem „AHQ“ im Benutzernamen und der pakistanischen Luftwaffe verstärkt. Bei den Untersuchungen wurde ein weiterer Benutzername namens „gnss“ gefunden, der leider keine brauchbaren Hinweise lieferte, obwohl eine andere Vermutung lauten könnte, dass sich dies auf Global Navigation Satellite System bezieht. Die gesichteten Dateien enthielten auch Namen, die sich auf die Satellitenkommunikation bezogen, was auf Daten in diesem Bereich schließen lässt.

Während die Analyse von Malware-Dateien, die auf VirusTotal hochgeladen wurden, oft die Identität der Ziele der Angriffskampagne offenbart, ist es ungewöhnlich, dass auch Beweise dafür gefunden werden, dass der Angriff tatsächlich erfolgreich war. In diesem Fall konnte CPR feststellen, dass eine von der Malware erstellte Protokolldatei die Identität der Opfer enthüllte, einschließlich der Namen sensibler Dokumente und Systeme.

Dies lässt CPR vermuten, dass das Eindringen schließlich vom Opfer oder von Sicherheitsanalysten, die in dessen Auftrag tätig waren, entdeckt und analysiert wurde.

 

Die APT-Gruppe Sidewinder

„Sidewinder“ ist eine mutmaßlich indische APT-Gruppe, die sich stark auf pakistanische und chinesische Regierungsorganisationen konzentriert. Ende März 2022 veröffentlichte CPR eine Analyse des bösartigen Dokuments von „Sidewinder“, das den Russland-Ukraine-Konflikt ausnutzte. Dem Inhalt nach zu urteilen, waren die beabsichtigten Ziele des Angriffs pakistanische Einrichtungen. Das Köderdokument enthält das Dokument des National Institute of Maritime Affairs der Bahria University in Islamabad und trägt den Titel „Focused talk on Russian Ukraine Conflict Impact on Pakistan“.