Callisto: F-Secure Labs deckt Aktivitäten der Hackergruppe auf

Bericht beschreibt die Gruppe als hochmotiviert und ressourcenstark

[datensicherheit.de, 13.04.2017] Die F-Secure Labs melden, dass eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt hat. Ihr Bericht beschreibt demnach die „Callisto“-Gruppe als hochmotivierte und ressourcenstarke Hacker und ernstzunehmende Bedrohung, die seit mindestens 2015 Cyber-Attacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think-Tanks durchgeführt haben soll.

Informationsdiebstahl als Motiv

„Callisto“ soll dem Bericht nach für eine Reihe von Cyber-Angriffe im Jahr 2015 und 2016 verantwortlich sein. Deren Opfer sollen nicht explizit genannt werden, aber eine klare Gemeinsamkeit unter den Zielen der Gruppe sei zu identifizieren: Die angegriffenen Personen und Organisationen stünden alle in Verbindung zur Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus, was Informationsdiebstahl als Motiv der Angriffe nahelege.

Momentane Beweislage noch unzulänglich

Obwohl die F-Secure Labs in „Callistos“ Infrastruktur „klare Verbindungen zu Organisationen in Russland, der Ukraine und China“ feststellt hätten, habe kein definitives Urteil darüber gefällt werden können, wer genau hinter dieser Gruppe steht. Es gebe zwar Beweise für eine „Verbindung zu einem Nationalstaat“, die genau Art dieser Beziehung bleibe aber unklar.
„Ihre Vorgehensweise erinnert an staatlich-sanktionierte Angreifer, aber gleichzeitig fanden wir auch Beweise, die ,Callisto‘ mit kriminellen Infrastrukturen in Verbindung brachten“, sagt Sean Sullivan, Sicherheitsberater bei F-Secure.
„Demnach könnten sie eine unabhängige Gruppe sein, die im Auftrag einer Regierung handelt, oder eigenständig mit dem Ziel agiert, die gestohlenen Informationen an Regierungen oder Nachrichtendienste zu verkaufen“, so Sullivan. Doch dies seien nur zwei von vielen möglichen Erklärungen und nach der momentanen Beweislage könnten sie noch kein endgültiges Urteil fällen.

Malware-Transfer nach Phishing-Attacken

Neben den Zielen und Motiven der „Callisto“-Gruppe soll der Bericht auch die Angriffsstrategie, mit der die Hacker ihre Ziele unterwandern, erklären. Demzufolge bediene sich „Callisto“ sowohl gezielter Phishing-Angriffe, um Anmeldedaten für E-Mail-Konten zu stehlen, als auch hochpersonalisierter und sehr überzeugender Spear-Phishing-E-Mails, um ihre Ziele mit Malware zu infizieren.
Verschickt worden seien diese Spear-Phishing-E-Mails dabei oft von durch vorherige Phishing-Angriffe der Gruppe kompromittierte E-Mail-Konten. Die auf diesem Weg übertragene Malware habe es den Angreifern ermöglicht, Informationen zu stehlen und weitere Malware zu installieren.

Malware eine Variante des „Scout Tools“

Laut dem Bericht handele es sich bei dieser Malware um eine Variante des „Scout Tools“ der italienischen Überwachungsfirma HackingTeam. Das „Scout-Tool“ sei Teil des von HackingTeam an staatliche Organisationen verkauften „Spyware-Toolsets“, welches 2015 von Hackern gestohlen und online veröffentlicht worden sei.
„Dass sich Hacker hochwertige Spyware auf Regierungsniveau aneignen konnten, sollte niemanden überraschen“, so Erka Koivunen, „Chief Information Security Officer“ bei F-Secure, für den „Callistos“ Verwendung der für Strafverfolgungsbehörden entwickelten Spyware deutlich daran erinnere, welche Gefahren von Überwachungstechnologien ausgehen könnten.
„Überwachungs-Tools wie ,Scout‘ sind von Grund auf dafür entwickelt worden, es Regierungen zu erlauben, die Privatsphäre ihrer Bevölkerung zu verletzen. In einer funktionierenden Demokratie werden diese Verletzungen von Gesetzen reguliert, und die Leute vertrauen dem Staat, solche Mittel verantwortungsvoll und nur unter strengster Kontrolle zu verwenden. Doch Datenschutzverletzungen und die folgende Verbreitung von professioneller Überwachungstechnologie im Netz eröffnet dieselben invasiven Möglichkeiten auch einer Vielzahl von Bedrohungsakteuren“, erläutert Koivunen. Regierungen dürften nicht vergessen, dass man kein Monopol auf diese Technologien habe, und Söldner, feindliche Staaten und andere Bedrohungsakteure nicht zögern würden, die volle Macht dieser Überwachungstechnologien auch gegen uns einzusetzen, so seine Warnung.
Dem Bericht nach soll diese Gruppe immer noch aktiv sein, und es sei ungewiss, wie sie auf ihre Enthüllung reagieren werde.

Weitere Informationen zum Thema:

F-Secure
CALLISTO GROUP

F-Secure NEWS FROM THE LAB, 13.04.2017
The Callisto Group

datensicherheit.de, 14.04.2016
Schwachstellen: Zehntausende Fälle falsch konfigurierter Systeme und ungepatchter Software

datensicherheit.de, 07.10.2015
Cyberkriminelle entwickeln ausgeprägte Geschäftsmodelle

datensicherheit.de, 24.06.2014
Havex: F-Secure enttarnt Angriffsmuster