Strukturierte Zusammenarbeit zwischen Cyberspionage und Datenzerstörung
Security-Forscher von Check Point Research (CPR) haben die Aktivitäten von Void Manticore, einem iranischen Bedrohungsakteur, der mit dem Ministerium für Geheimdienste und Sicherheit (MOIS) verbunden ist, aktiv überwacht. Der Bedrohungsakteur ist durch seine Beteiligung an zerstörerischen Löschangriffen (mit Wipern) aufgefallen, die oft mit Beeinflussungsaktionen verbunden sind. Void Manticore hat zur Durchführung seiner Operationen die Form von verschiedenen Online-Identitäten angenommen, wobei die bekanntesten „Homeland Justice“ für Angriffe in Albanien und „Karma“ für Operationen gegen Israel sind.
Void Manticore kooperiert mit Scarred Manticore , einer weiteren, dem iranischen MOIS angeschlossenen Bedrohungsgruppe. Die Analyse zeigt eine systematische Weitergabe von Zielen zwischen den beiden Gruppen, was auf eine koordinierte Anstrengung zur Durchführung zerstörerischer Aktivitäten gegen ausgewählte Opfer hindeutet. Der Übergabeprozess beinhaltet, dass Scarred Manticore zunächst auf die Zielnetzwerke zugreift und Daten exfiltriert, gefolgt von einer Übergabe der Kontrolle an Void Manticore, die dann die zerstörerische Phase der Operation einleitet. Diese strategische „Partnerschaft“ vergrößert nicht nur das Ausmaß und die Auswirkungen ihrer Angriffe, sondern stellt auch eine große Herausforderung für die Verteidiger dar.
Durch die Nutzung der Ressourcen und des Fachwissens mehrerer Bedrohungsakteure kann Void Manticore ausgeklügelte Cyberkampagnen mit weitreichenden Folgen durchführen. Diese Zusammenarbeit vergrößert nicht nur die Reichweite von Void Manticore, sondern lässt auch auf ein hohes Maß an Raffinesse schließen.
Abbildung 1: Eine Übersicht über die Zeitachse der Void-Scarred Manticores Connection. (Quelle: Check Point Research 2024)
Dieses Übergabeverfahren ist nicht neu und steht in engem Zusammenhang mit der Berichterstattung von Microsoft über die zerstörerischen Angriffe auf Albanien im Jahr 2022.
Abbildung 2: Vergleich der Cyber-Operationen von Scarred und Void Manticore in Albanien und Israel (Quelle: Check Point Research)
Die Überschneidungen bei den Techniken, die bei den Angriffen gegen Israel und Albanien eingesetzt wurden, einschließlich der Koordinierung zwischen den beiden verschiedenen Akteuren, lassen darauf schließen, dass dieser Prozess zur Routine geworden ist. Die Verbindungen zwischen den Ereignissen in Israel und Albanien haben sich mit den jüngsten Angriffen gegen Albanien (Ende 2023 und Anfang 2024) verstärkt, bei denen Void Manticore Festplatten-Wiper abwarf, die denen ähneln, die in Israel als Teil der BiBi-Wiper-Angriffe eingesetzt wurden.
Techniken, Taktiken und Methoden der Angreifer
Die Taktik von Void Manticore ist effektiv. Sie verwenden häufig einfache, öffentlich verfügbare Tools, um sich Zugang zu den Zielnetzwerken zu verschaffen. Sobald sie sich Zugang verschafft haben, setzen sie benutzerdefinierte Wiper für Windows- und Linux-Systeme ein, die auf wichtige Dateien und Partitionstabellen abzielen, um Daten unzugänglich zu machen. Darüber hinaus führt die Gruppe manuelle Datenvernichtungsaktionen durch, um die Wirkung ihrer Angriffe weiter zu verstärken.
Void Manticore setzt eine Reihe von benutzerdefinierten Wipern ein, um seine zerstörerischen Operationen effektiv durchzuführen. Diese Wiper dienen unterschiedlichen Zwecken. Einige zielen auf bestimmte Dateien oder Dateitypen innerhalb infizierter Systeme ab und ermöglichen das selektive Löschen kritischer Informationen sowie die gezielte Schädigung von Anwendungen, Benutzerdaten und Systemfunktionen. Andere konzentrieren sich auf Angriffe auf die Partitionstabelle des Systems und löschen diese, um alle Daten auf der Festplatte unzugänglich zu machen, obwohl sie auf dem Speichermedium unverändert bleiben.
Die Gruppe setzt insbesondere den CI Wiper ein, der erstmals im Juli 2022 bei einem Angriff auf Albanien eingesetzt wurde, sowie „Partition Wiper“ wie den LowEraser, der bei Angriffen auf Einrichtungen wie INSTAT in Albanien und mehrere israelische Einrichtungen verwendet wurde. Bei ihren jüngsten Angriffen wurde der nach dem israelischen Premierminister Benjamin Netanjahu benannte BiBi Wiper eingesetzt, der sowohl in Linux- als auch in Windows-Varianten existiert und ausgeklügelte Techniken zur Beschädigung von Dateien und zur Störung der Systemfunktionen einsetzt.
Fazit
Die Fähigkeit von Void Manticore, koordinierte, zerstörerische Angriffe durchzuführen, verdeutlicht die zunehmende Raffinesse staatlich gesponserter Cyberoperationen. Das Verständnis und die Abschwächung der von Gruppen wie Void Manticore ausgehenden Risiken für den Schutz der digitalen Infrastruktur und der nationalen Sicherheit sind von größter Bedeutung.
Wachsamkeit und Proaktivität sind und bleiben der Schlüssel zum Schutz vor fortwährend neuen Cyber-Bedrohungen. Cyberkriminelle werden sich weiterhin anpassen und weiterentwickeln, deshalb ist eine kontinuierliche Zusammenarbeit zwischen Cybersicherheitsforschern, staatlichen Einrichtungen und Unternehmen unerlässlich, um den Herausforderungen durch staatlich geförderte Cyberangriffe zu begegnen.