Die Hackergruppe Syrian Electronic Army ist bereits seit ein paar Jahren aktiv und kann einige große Namen auf ihrer Aktionsliste vorweisen. Darunter die US-Regierung, die US-Streitkräfte und auch das Magazin Forbes sowie das Twitterkonto der Associated Press. Das FBI sucht seitdem dringend nach Hinweisen zur Ergreifung, insbesondere von zwei hochrangigen Mitgliedern der Gruppe. Ihre auf 100.000 US-Dollar angesetzte Kopfgeldprämie soll Online-Kopfgeldjäger das Auffinden der beiden Cyberkriminellen Al Agha und Firas Didar schmackhaft machen. Bisher blieb das jedoch ohne Erfolg. So kann die Syrian Electronic Army weiter tatkräftig an bösartigen Softwareideen basteln. Und ihre neueste Malware treibt ihr Unwesen bereits unter dem Namen SilverHawk.
Die Forscher Kristin Del Rosso und Michael Flossman von Lookout, einem Sicherheitsunternehmen für Mobilfunktechnik, nahmen die seit 2016 eingesetzte Malware unter die Lupe. Anfang Dezember stellten sie ihre Forschungsergebnisse auf der Black Hat Konferenz in London vor.
SilverHawk zeigt klar, so die beiden Forscher, dass die Hacker sich nun auf naheliegendere Spionageziele konzentrieren.
Nachdem der andauernde Krieg in Syrien derzeit nicht mehr ganz so hitzig abläuft, kümmert sich die Gruppe um die Ausspionierung von Gegnern des Assad-Regimes. Bewerkstelligt wird das mit SilverHawk, einer umfangreichen Spionagesoftware für Androidgeräte. Ziel ist es, Regimegegner über populäre Kommunikationsapps oder gängige Textverarbeitungsprogramme auszuspionieren. Konkret erstellt die syrische Hackergruppe seit einiger Zeit gefälschte Updates und liefert sie an ihre jeweiligen Opfer aus.
Über die Waterhole-Methode und Phishing-E-Mails werden ganz gezielt solche gefälschten Updates an Androidgeräternutzer verbreitet. Betroffen sind vor allem die populärsten Kommunikationsapps Whatsapp und Telegram sowie YouTube und die Chat Secure-App des Guardian Projekts. Die Forscher fanden in der SilverHawk-Spionagesoftware-Sammlung insgesamt mehr als 30 trojanisierten Versionen anderer bekannter Android Apps. Der Startschuss für die Aktivierung von SilverHawk fällt, wenn Androidnutzer den falschen Updates Zugriff auf Administratorebene und andere Berechtigungen gewähren.
SilverHawk ist mit genügend Spionagewerkzeugen ausgestattet, um auf das Mikrofon oder die Kamera zuzugreifen um Echtzeit-Spionage zu betreiben, Kontaktdaten auszulesen oder gespeicherte Dateien zu lesen oder gleich ganz zu stehlen. Das heißt konkret, sie kann Live-Audiomitschnitte ausführen und Fotos aufnehmen, Dateien herunterladen, Kontakte überwachen, Aufenthaltsort des Nutzers mitverfolgen und noch so einiges mehr. Und damit das alles nicht so sehr am Geräteakku zieht, was dem Nutzer verdächtig vorkommen könnte, hat SilverHawk auch noch einen Trick auf Lager:
Die beiden Forscher fanden heraus, dass die Hacker einen Zähler in die Malware eingebaut haben – es gibt nur zwei Versuche sich wieder mit ihren Befehls- und Steuerungsservern zu verbinden. Kristin Del Rosso erklärt das so, dass jedes Mal, beim Versuch eine Verbindung zu den Befehls- und Steuerungsservern erfolgreich aufzubauen, die Verbindung auf zwei zurückgesetzt wird. Und jedes Mal, wenn keine Verbindung hergestellt wird oder der C2-Server ausfällt, wird der Zähler nur um einen Wert verringert. Bei einem Geräteneustart wird der Zähler jedoch wieder auf 2 hoch gesetzt. Damit kann die Überwachungssoftware ihre Spionagearbeit fortsetzen. So werden eben auch wiederholte Verbindungsversuche verhindert, die typischerweise die Batterie strapazieren.
Bisher ist den Forscher nur aufgefallen, dass die Syrian Electronic Army ihre Spionage Trojaner gegen Andriod Systeme und gelegentlich auch gegen MS Windows Desktops einsetzt. Letztere werden mittels Phishing-E-Mails infiziert. Dabei wird NjRAT, H-Worm Plus and DarkComet Malware eingesetzt. iOS-Geräte sind bisher nicht Zielobjekte. Für politische Dissidenten in Syrien ist SilverHawk derzeit also eine immense reelle Bedrohung.
Artikel von forbes.com, 05.12.2018: Syrian Electronic Army Hackers Are Targeting Android Phones With Fake WhatsApp Attacks
Artikel von zdnet.com, 10.12.2018: These hackers are using Android surveillance malware to target opponents of the Syrian government
Artikel von blackhat.com, 05.12.2018: Under the SEA – A Look at the Syrian Electronic Army’s Mobile Tooling
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0