Hacker nutzen Stellensuche auf LinkedIn für Phishing

Eine vermutlich aus dem Iran stammende Hackergruppe hat ein raffiniertes Phishing-System aufgezogen, um Beschäftigte in Telekommunikationsfirmen, Regierungsbehörden und Rüstungsunternehmen angreifen zu können. Dies beschreibt Dell Secureworks in einer jetzt vorgelegten Analyse. Die Threat 2889 getaufte Gruppe hat demnach mindestens 25 falsche, aber glaubwürdig wirkende Profile in dem Social Network erstellt.

Falsches LinkedIn-Profil eines Mitarbeiters der Teledyne-Personalabteilung (Screenshot: Dell Secureworks)

Die vorgetäuschten LinkedIn-Mitglieder verfügen über eine umfangreiche Arbeitsbiografie und rund 500 Kontakte, die ihnen Glaubwürdigkeit verschaffen. Sie geben vor, für ihren Arbeitgeber auf der Suche nach Mitarbeitern zu sein.

Die Analyse von Secureworks baut auf Enthüllungen von Cylance im Dezember 2014 (PDF) auf. Cylance beschrieb eine iranische Gruppe namens Cleaver, die im Lauf von zwei Jahren etwa 50 Firmen in Europa, dem Mittleren Osten und Nordamerika gehackt hatte, darunter Militäreinheiten, Fluglinien, Flughäfen, Universitäten, Rüstungsfirmen und Energieversorger. Secureworks glaubt aufgrund „starker Indizien“, dass es zwischen beiden eine Verbindung gibt.

Cylance zufolge nutzen diese Hacker eine Reihe Angriffstechniken, unter anderem SQL Injection, Software-Exploits und eine für die Überwachung von Opfern eine Variante der Zeus-Malware namens TinyZBot. Letztere kann Tastatureingaben aufzeichnen, Screenshots erstellen, Antivirenprogramme deaktivieren und neue Komponenten aus der Ferne nachladen.

Diese Malware wurde als System zum Einsenden von Lebensläufen getarnt. Vorgeblich konnte man sich damit bei Teledyne Technologies bewerben. Beide Sicherheitsanbieter weisen darauf hin, dass auch Domains eingerichtet wurden, die sich für Personalsuche-Websites der realen Unternehmen Teledyne, Doosan und Northrop Grumman ausgaben.

Cylance konstatiert weiter, dass die Gruppe ihren Betrieb offenbar nach dem Stuxnet-Vorfall aufnahm. Stuxnet war eine nach heutigem Wissen wohl von den USA und Israel in die Welt gesetzte Malware, die das Atomforschungsprogramm des Iran sabotieren sollte.

LinkedIn hat sich zu einer wichtigen Anlaufstelle für Hacker entwickelt, die Informationen über Ziele in bestimmten Branchen sammeln. Im September 2015 waren Mitarbeiter von F-Secure und anderer Sicherheitsfirmen von falschen Personalern via LinkedIn kontaktiert worden. Laut Yonathan Klijnsma von Fox-IT aus den Niederlanden ging es darum, soziale Verbindungen innerhalb der Branche auszuschnüffeln. Mehr Details kamen nicht ans Licht. Einen Monat nach der Aufnahme verschwand der falsche Personalmitarbeiter wieder aus den LinkedIn-Verbindungen seiner Opfer.

[mit Material von Liam Tung, ZDNet.com]

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

13 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

20 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

4 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago