Die Hackergruppe APT 35 lotste ihre Opfer im Zuge von Spear-Phishing-Angriffen auf gefälschte Microsoft-Webseiten. Nun ist der Spuk vorerst vorbei.

Ein am gestrigen Mittwoch veröffentlichter Gerichtsbeschluss des US-Bezirksgerichts in Washington D.C. erlaubt Microsoft per einstweiliger Verfügung die kurzfristige Übernahme von insgesamt 99 Domains, die zuvor von einer iranischen, staatlich finanzierten Hackergruppe kontrolliert worden waren.

Wie Microsoft in einem Blogeintrag mitteilt, handelte es sich dabei um die Gruppe APT 35 – auch bekannt als Phosphorus, Charming Kitten, Ajax Security Team und Newscaster Team. Die Abkürzung APT steht für „Advanced Persistent Threat“ und meint komplexe zielgerichtete Angriffe. APT 35 ist laut Microsoft vorrangig an Spionage beziehungsweise am Diebstahl vertraulicher Informationen interessiert. Dementsprechend gehörten zu den primären Angriffszielen der iranischen Gruppe große Unternehmen und staatliche Behörden anderer Nationen, aber auch (regierungskritische) Aktivisten und Journalisten.

Die von APT 35 registrierten Domains trugen Namen wie outlook-verify.net, microsoft-update.bid, outlook-livecom.bid oder com-microsoftonline.club. Laut Microsoft nutzten die Hacker sie im Rahmen zielgerichteter Phishing-Angriffe (so genanntem Spear Phishing) auf Nutzer von Windows und anderen MS-Produkten, um vertrauliche Informationen zu erbeuten oder Microsoft-Konten zu kapern. Die Nutzer sollen laut Anklageschrift unter anderem via Spam-Mails auf die Domains gelotst worden sein. Unter dem Vorwand, es bestehe ein Sicherheitsrisiko für ihre Accounts, wurden sie anschließend dazu bewegt, Zugangsdaten in Formulare einzugeben und sie auf diesem Wege geradewegs an APT 35 zu verschicken.

Eine Liste der 99 Domains im Anhang der Anklageschrift legt nahe, dass auch Kunden weiterer bekannter Tech-Unternehmen im Spear-Phishing-Fadenkreuz von APT 35 standen. So umfasst sie unter anderem Domains, deren Namensgebung auf Linkedin, Yahoo und den Instant-Messaging-Dienst Telegram verweist. Dazu passt auch Microsofts Aussage, im Zuge seiner (wohl schon seit 2013 laufenden) Analysen der APT-35-Aktivitäten unter anderem mit Yahoo zusammengearbeitet zu haben.

Bereits 2017 führte Microsoft ganz ähnliche Domain-Beschlagnahmungen durch. Damals hatte Microsoft im Zusammenhang mit den Aktivitäten der Gruppe APT 28 alias Fancy Bear, Pawn Storm, APT28 und Strontium ebenfalls erfolgreich gegen „John Doe“ – also gegen Unbekannt – und auf Herausgabe der Domains geklagt. Eine anschließende Analyse des Datenverkehrs durch Microsoft ermöglichte das Indentifizieren zahlreicher Spionage-Opfer.

Auch diesmal will das Unternehmen eingehenden Webtraffic zu Analysezwecken auf die Server seiner hauseigenen Digital Crime Unit umzuleiten. Auf diese Weise gesammelte Informationen sollen ausgewertet werden und in die Sicherheitssoftware des Unternehmens einfließen, um Microsoft-Kunden künftig besser vor Spear Phishing und Hacking zu schützen.

Liste der 99 Domains