Mutterkonzern der Kreuzlinger Mowag hilft mit: Vorgehen von Cyberspionen aufgedeckt

Forscher von Eset, der europäischen Spezialistin für Sicherheitssoftware, haben zusammen mit Konzernen Hackermethoden entlarvt.

Stefan Borkert
Drucken
Teilen
Auch US-Rüstungskonzerne sind Opfer von Hacker-Attacken.

Auch US-Rüstungskonzerne sind Opfer von Hacker-Attacken.

Shutterstpck

Luft- und Raumfahrt- sowie Rüstungskonzerne sind oft Ziele von Cyberspionage. Mit Hilfe der Grosskonzerne Collins Aerospace und General Dynamics (GD) haben Forscher von Eset nun die Arbeitsweise von Hackern analysiert und bislang unbekannte Malware entdeckt. Zum Rüstungskonzern GD gehört auch die Kreuzlinger Mowag. Die Attacken liefen von September bis Dezember 2019 ab. Die Spionageaktivitäten bezeichnen die Experten des europäischen IT-Sicherheitsherstellers als «Operation In(ter)ception».

Gefälschte Rechnungen

Datendiebstahl war aber nicht ihr einziges Ziel. Mit den gekaperten E-Mail-Accounts sollten auch Kunden der infiltrierten Unternehmen zu Zahlungen gefälschter Rechnungen gebracht werden. Die Analyse und detaillierte Informationen haben die Eset-Forscher in einem Whitepaper, einer Art Weissbuch, auf WeLiveSecurity veröffentlicht. Das Portal informiert über Cybersicherheit.

«Die Angriffe, die wir untersucht haben, enthielten alle Merkmale einer Cyberspionage-Kampagne. Wir haben im Zuge unserer Analyse mehrere Hinweise entdeckt, die wir mit der einschlägig bekannten Lazarus-Gruppe, die 2014 Sony Pictures angegriffen hat, in Verbindung bringen können», so Dominik Breitenbacher, Spezialist für Schadprogramme bei Eset. «Weder die Malwareanalyse noch die nachfolgenden Untersuchungen ermöglichten eine klare Aussage, auf welche Dateien es die Angreifer genau abgesehen haben», sagt Breitenbacher. Mit Fakeprofilen beim sozialen Netzwerk Linkedin gaben die Hacker sich als vermeintliche Mitarbeitende der Personalabteilung von namhaften Luft- und Raumfahrt- sowie Rüstungskonzernen wie Collins Aerospace und General Dynamics aus.

Laut Breitenbacher schrieben sie Mitarbeitende der Konzerne an, schickten ihnen gefälschte Jobangebote und erlangten so ihr Vertrauen. Mit nun einem Fuss in der Tür startete die zweite Phase und massgeschneiderte Schadprogramme kamen zum Einsatz. Diese waren in Programmen zur Datenkompression, wie etwa RAR-Archiven, versteckt, die Details zu den Fakejobangeboten enthielten. Nach der Infektion stand den Angreifern eine Vielzahl Tools zur Verfügung, um Daten der Unternehmen zu stehlen. In einem Fall haben sie über den gekaperten E-Mail-Account vermeintlich offene Rechnungen eingefordert.

Aktuelle Nachrichten