Wie Hacker Cyberangriffe vorbereiten

Von einem Moment auf den nächsten geht gar nichts mehr: Die Dateien sind verschlüsselt, die Systeme reagieren nicht mehr, und die Website zeigt die hämische Grussbotschaft einer Erpressergruppe. So oder ähnlich spielen sich Cyberangriffe ab – zumindest von aussen betrachtet.

Doch aus Sicht der Hacker ist dieser Moment zwar wohl der Höhepunkt des Angriffs. Aber die Vorbereitungen dazu haben schon lange davor angefangen. Sicherheitsspezialist Proofpoint schildert beispielhaft einen Angriff der Hackergruppe TA456 (Threat Actor 456 - oft auch Imperial Kitten oder Tortoiseshell genannt).

Social Engineering als Schlüssel zum Unternehmen

Die Hackergruppe werde vom iranischen Staat unterstützt, schreibt Proofpoint. Das Ziel des Angriffs: Ein nicht näher genanntes Rüstungsunternehmen im Bereich Luft- und Raumfahrt.

Um ins Netzwerk des Unternehmens vorzudringen, setzt die Gruppe auf sogenanntes Social Engineering. Mit Hilfe des Social-Media-Pseudonyms "Marcella Flores" etablierten die Cyberkriminellen eine Beziehung zu einem Mitarbeiter des anzugreifenden Unternehmens – und zwar schon Jahre vor dem eigentlichen Angriff. Die Kriminellen nutzten sowohl Kommunikationswege des Unternehmens als auch private Kommunikationskanäle, um mit dem Mitarbeiter Kontakt zu halten.

Anfang Juni dieses Jahres versuchten die Hacker dann, aus der Beziehung Kapital zu schlagen. Dazu wurde dem Opfer im Rahmen eines andauernden Mail-Verlaufs Schadsoftware geschickt, namentlich ein mit Makros versehenes Dokument. Sein Inhalt war auf den Empfänger personalisiert. Dies unterstreiche die Bedeutung, die TA456 der Zielperson beimass, schreibt Proofpoint.

Die mit dem Dokument einzuschleusende Schadsoftware heisst "Lempo", und ist laut Proofpoint eine neue Version von "Liderc". Sobald sie auf einem Zielsystem installiert wurde, kann sie auf dem infizierten Rechner Spionage betreiben, die gesammelten Informationen auf dem Host speichern, sensible Daten über SMTPS an ein von den Hintermännern kontrolliertes E-Mail-Konto weiterleiten und im späteren Verlauf ihre Spuren verwischen, indem sie die Host-Artefakte des jeweiligen Tages löscht.

Einer von vielen Fällen

Das Beispiel zeige, wie hartnäckig bestimmte staatlich unterstützte Hackergruppen Social Engineering zur Unterstützung von Spionageaktivitäten betreiben, führt Proofpoint aus. Man entdecke regelmässig ähnliche Kampagnen von TA456, bei denen versucht wird, Kunden aus der Rüstungsbranche auszuspionieren, insbesondere solche, die in der Luft- und Raumfahrttechnik tätig sind. Die Gruppe pflege dabei gezielt Beziehungen über soziale Medien, um Malware in sensible Netze einzuschleusen.

Zu den für die Hacker erfolgreichen Social-Engineering-Kampagnen gehört etwa der Angriff auf Spielehersteller EA. Hier gelang es den Angreifern, sich Zugang zum Slack-Netzwerk des Unternehmens zu verschaffen und sich dort als Mitarbeiter auszugeben. Schliesslich gelang es ihnen, Quellcode von Spielen sowie dieverse Tools des Unternehmens abzugreifen.

Da sich Social Engineering um den Menschen als Sicherheitslücke dreht, ist es wichtig, sich als Privatperson sowie Mitarbeitenden im Unternehmen für mögliche Angriffe zu schulen, obwohl die Gefahr durch Social Engineering über Präventivmassnahmen nie gänzlich gebannt werden kann. Welche Schutzmassnahmen jeder Privatpersonen und Unternehmen treffen können, lesen Sie im Fachbeitrag von Veriphy.