Gezielte Spionage war wohl das Ziel eines Cyberangriffes auf europäische und andere Unternehmen Ende 2019. In Zusammenarbeit mit zwei der betroffenen Firmen (die US-Konzerne Collins Aerospace und General Dynamics) konnten die ESET Forscher Einblicke in die Vorgehensweise der Spionagegruppe erhalten und eine bisher unbekannte Malware analysieren. Die Spionage-Aktivitäten bezeichnen die Experten des europäischen IT-Sicherheitsherstellers als „Operation In(ter)ception“. Collins Aerospace ist in Deutschland mit vier Standorten in Hamburg, Lippstadt, Lübeck und Heidelberg vertreten. General Dynamics European Land Systems ist in Deutschland in Berlin, Neubrandenburg und Kaiserslautern präsent.
Die Kampagne war sehr zielgerichtet und darauf ausgelegt, viele Informationen zu erlangen und dabei unerkannt zu bleiben. Um die Ziele zu kompromittieren, nutzten die Angreifer Social-Engineering Methoden. Über LinkedIn schrieben die Hacker Mitarbeiter der betroffenen Unternehmen an und unterbreiteten diesen lukrative, aber gefälschte Jobangebote. Datendiebstahl war aber nicht ihr einziges Ziel. Mit den gekaperten E-Mail-Accounts sollten auch Kunden der infiltrierten Unternehmen zu Zahlungen gefälschter Rechnungen gebracht werden. Ihre Analyse und detaillierte Informationen haben die ESET Forscher heute in einem Whitepaper auf dem hauseigenen Blog WeLiveSecurity veröffentlicht (Autoren: Dominik Breitenbacher und Kaspars Osis).
„Die Angriffe, die wir untersucht haben, enthielten alle Merkmale einer Cyberspionage-Kampagne. Wir konnten im Zuge unserer Analyse mehrere Hinweise entdecken, die wir mit der einschlägig bekannten Lazarus-Gruppe in Verbindung bringen können“, so Dominik Breitenbacher, ESET Malware Researcher. „Weder die Malware-Analyse noch die nachfolgenden Untersuchungen ermöglichten eine klare Aussage, auf welche Dateien es die Angreifer genau abgesehen haben.“
Social Engineering: Die Tür ins Unternehmensnetzwerk
Im aktuellen Fall haben die Angreifer auf Social-Engineering Methoden gesetzt. Mit Fake-Profilen bei LinkedIn gaben sie sich als vermeintliche Mitarbeiter der Personalabteilung von namhaften Luft- und Raumfahrt- sowie Rüstungskonzernen wie Collins Aerospace und General Dynamics aus. Hierüber schrieben sie Mitarbeiter der anvisierten Konzerne an, schickten ihnen gefälschte Job-Angebote und erlangten so ihr Vertrauen. Mit einem Fuß in der Tür startete die zweite Phase, und maßgeschneiderte Schadprogramme kamen zum Einsatz. Die Malware verbarg sich in RAR-Archiven, die vermeintliche Details zu den Jobangeboten beinhalteten. Die angeschriebenen Mitarbeiter hätten eigentlich angesichts der mangelhaften Rechtschreibung und Grammatik misstrauisch werden sollen mit drei Fehlern in zwei kurzen Sätzen (I saw your profile in LinkedIn and then I like your enthusiasm. We welcomes elites like you).
Datendiebstahl und weitere Betrugsmasche
Nach der Infektion standen den Angreifern eine Vielzahl an Tools zur Verfügung. Dabei ging es den Hackern nicht nur darum Unternehmensdaten zu stehlen. In einem Fall haben sie über den gekaperten E-Mail-Account Kunden des Unternehmens angeschrieben, um vermeintlich offene Rechnungen bezahlen zu lassen.
Und wer steckt dahinter?
Die ESET Forscher konnten bei ihren Untersuchungen keine zwingenden Beweise für eine Verbindung von Operation In(ter)ception zu einer bekannten Spionagegruppe entdecken. Dennoch fanden die Experten mehrere Hinweise, die auf eine Verbindung mit der Lazarus-Gruppe hindeuten. Es bestehen Ähnlichkeiten in der Zielausrichtung, der Verwendung gefälschter LinkedIn-Konten, der Entwicklungsumgebung sowie den Techniken, um einer Erkennung zu entgehen. Die Lazarus-Gruppe ist 2009 das erste Mal entdeckt worden. Bekannt wurden die Cyberkriminellen 2014 mit ihrem Angriff auf Sony Pictures. Angeblich sollen sie in Verbindung mit dem nordkoreanischen Geheimdienst stehen.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…