Hacker nutzen Stellensuche auf LinkedIn für Phishing

Eine vermutlich aus dem Iran stammende Hackergruppe hat ein raffiniertes Phishing-System aufgezogen, um Beschäftigte in Telekommunikationsfirmen, Regierungsbehörden und Rüstungsunternehmen angreifen zu können. Dies beschreibt Dell Secureworks in einer jetzt vorgelegten Analyse. Die Threat 2889 getaufte Gruppe hat demnach mindestens 25 falsche, aber glaubwürdig wirkende Profile in dem Social Network erstellt.

Falsches LinkedIn-Profil eines Mitarbeiters der Teledyne-Personalabteilung (Screenshot: Dell Secureworks)

Die vorgetäuschten LinkedIn-Mitglieder verfügen über eine umfangreiche Arbeitsbiografie und rund 500 Kontakte, die ihnen Glaubwürdigkeit verschaffen. Sie geben vor, für ihren Arbeitgeber auf der Suche nach Mitarbeitern zu sein.

Die Analyse von Secureworks baut auf Enthüllungen von Cylance im Dezember 2014 (PDF) auf. Cylance beschrieb eine iranische Gruppe namens Cleaver, die im Lauf von zwei Jahren etwa 50 Firmen in Europa, dem Mittleren Osten und Nordamerika gehackt hatte, darunter Militäreinheiten, Fluglinien, Flughäfen, Universitäten, Rüstungsfirmen und Energieversorger. Secureworks glaubt aufgrund „starker Indizien“, dass es zwischen beiden eine Verbindung gibt.

Cylance zufolge nutzen diese Hacker eine Reihe Angriffstechniken, unter anderem SQL Injection, Software-Exploits und eine für die Überwachung von Opfern eine Variante der Zeus-Malware namens TinyZBot. Letztere kann Tastatureingaben aufzeichnen, Screenshots erstellen, Antivirenprogramme deaktivieren und neue Komponenten aus der Ferne nachladen.

Diese Malware wurde als System zum Einsenden von Lebensläufen getarnt. Vorgeblich konnte man sich damit bei Teledyne Technologies bewerben. Beide Sicherheitsanbieter weisen darauf hin, dass auch Domains eingerichtet wurden, die sich für Personalsuche-Websites der realen Unternehmen Teledyne, Doosan und Northrop Grumman ausgaben.

Cylance konstatiert weiter, dass die Gruppe ihren Betrieb offenbar nach dem Stuxnet-Vorfall aufnahm. Stuxnet war eine nach heutigem Wissen wohl von den USA und Israel in die Welt gesetzte Malware, die das Atomforschungsprogramm des Iran sabotieren sollte.

LinkedIn hat sich zu einer wichtigen Anlaufstelle für Hacker entwickelt, die Informationen über Ziele in bestimmten Branchen sammeln. Im September 2015 waren Mitarbeiter von F-Secure und anderer Sicherheitsfirmen von falschen Personalern via LinkedIn kontaktiert worden. Laut Yonathan Klijnsma von Fox-IT aus den Niederlanden ging es darum, soziale Verbindungen innerhalb der Branche auszuschnüffeln. Mehr Details kamen nicht ans Licht. Einen Monat nach der Aufnahme verschwand der falsche Personalmitarbeiter wieder aus den LinkedIn-Verbindungen seiner Opfer.

[mit Material von Liam Tung, ZDNet.com]