Hacker haben auf LinkedIn falsche Konten erstellt und sich als Personalvermittler ausgegeben. Die Betrüger hatten Mitarbeiter von europäischen Rüstungsfirmen im Visier. Diese sollten nicht etwa ein Jobangebot erhalten, sondern ausspioniert werden.

In einen Zeitraum von drei Monaten wurden Angestellte zweier europäischer Luft-, Raumfahrt- und Rüstungsfirmen gezielt von falschen Personalvermittlern kontaktiert. Zwischen September und Dezember letzten Jahres gelang es den Hackern auf diese Weise, bösartigen Code zu verbreiten. In einer von der IT-Sicherheitsfirma ESET Mitte Juni veröffentlichten Studie wurden Details der Kampagne bekannt.

Ende letzten Jahres gelang es den Angreifern dann, Zugang zu den Netzwerken von zwei Unternehmen zu erhalten. Die Hacker verschickten am Ende Dokumente an ihre Kontakte, die bösartigen Code enthielten. Die Kommunikation erfolgte zunächst über die private Nachrichtenfunktion von LinkedIn. Und der gesamte Angriff war breit offenbar breit gestreut. Sehr viele Angestellte in verschiedenen Abteilungen der beiden Firmen waren kontinuierlich kontaktiert worden.

Laut Jean-Ian Boutin, Forschungsleiter bei ESET, sagte, man sei sich nicht sicher, was genau von den Hackern gestohlen wurde. Angesichts des Status der gewählten Opfer, glauben die Forscher jedoch, dass Hacker nach sensiblen „technischen und geschäftsbezogenen Informationen“ suchten.

Das Vorgehen der Hacker

Die Spionage Kampagne begann wohl jedes Mal mit belanglosen aber wirkungsvollen Schmeicheleien im Chat. Die Hacker hatten sich als LinkedIn-Benutzer Konten angelegt, in denen sie sich als Personalvermittler ausgaben. Sie gaben vor, für Collins Aerospace, einer Tochtergesellschaft von Raytheon und General Dynamics zu arbeiten. Die Opfer bekamen Nachrichten, in denen sie als elitäre Personen umschmeichelt wurden, die bei Collins Aerospace beruflich gut aufgehoben sein würden.

Die Konversationen erfolgten hauptsächlich über die private Nachrichtenebene von LinkedIn. Aber in mindestens einem Fall wurde sie per E-Mail fortgesetzt. Dort haben sich die Hacker offenbar wohler gefühlt, vermuten die Forscher. Ersten war es dort wohl leichter, bösartige Dateien zu versenden und zweitens, mussten sie sich im Chat nicht in gebrochenem Englisch unterhalten. Die versandten Dokumente, sollten mehr Informationen über die angebotenen Stellenangebote enthalten. Allerdings enthielten sie auch bösartigen Code.

Jean-Ian Boutin erklärte, dass

„die Angreifer wohl ziemlich aggressiv und überzeugend waren bei ihren Versuchen, ihre Opfer dazu zu drängen, die verseuchten Dokumente zu öffnen. In einigen Fällen hatten die Empfänger sogar technische Schwierigkeiten, die Anhänge zu öffnen – und die Angreifer gaben sich wirklich große Mühe, das Problem zu beheben.“

Wenn das klappte, konnten die Hacker dann weiter in die Unternehmensnetzwerke vordringen. Sie errieten dann Passwörtern solange, bis eines funktionierte. Damit hatten sie Zugang zu einem Angestellten-Verzeichnis. Von dort aus gelangten sie an eine Liste von Verwaltungskonten, mit der sie Passwörter von den Konten stehlen konnten.

Nach getaner Arbeit versuchten die Hacker dann, ihre Spuren zu verwischen. Sie löschten ihre LinkedIn-Profile und die Daten von gehackten Computern ihrer Opfer. Sie trafen auch Vorbereitungen, um die gestohlenen Dateien heimlich in einen von ihnen kontrollierten Dropbox-Ordner zu verschieben.

Wer hinter dem Angriff steckt

Wer die Angreifer sind, die sich auf LinkedIn als Personalvermittler ausgaben, ist noch nicht genau bekannt. Die ESET-Forscher gehen aber davon aus, dass es sich um eine APT-Gruppe handelt. Sie vermuten, dass es wohl die nordkoreanische Lazarus Gruppe sei. Darauf deuten die Analysen der gefundenen Daten hin. Einige der verwendeten Schadcodes wiesen Ähnlichkeiten mit den von Lazarus eingesetzten Tools auf. Genannt wurde eine Backdoor genannt NukeSped. Sie wird bei koreanisch sprechenden MacOS-Benutzern eingesetzt. Die Forscher geben aber zu, dass das nicht ausreicht, um den Koreanern die Schuld zuzuschieben.

Interessant ist der Ansatz der Angreifer, diese sehr private Aktivität auszunutzen. Boutin erklärte:

„Es ist unwahrscheinlich, dass Menschen ihrem aktuellen Arbeitgeber verdächtige Aktivitäten im Zusammenhang mit einem Stellenangebot, melden. Vor allem, wenn es von einem Konkurrenten kommt und sie sich dafür interessiert haben“.

Allerdings ist es durchaus bedenklich, wenn Angestellte derartige Angelegenheiten über geschäftliche E-Mail-Konten führen. Allein dies dürfte schon gegen Sicherheitsvorschriften verstoßen.

LinkedIn bemüht sich seit Jahren, falsche Mitgliedskonten zu finden und zu löschen. Doch so einfach ist das wohl nicht für die Plattform. LinkedIn stand schon ein paar Mal im Rampenlicht in einem Spionagefall, hinter dem die CIA die Chinesen vermutet. 2017 kontaktierten falsche Headhunter einen ehemaligen CIA-Geheimdienstler, der darauf hereinfiel. Er wurde der Spionage angeklagt und inhaftiert. Nordkoreanische Hacker nutzten 2016, laut dem FBI, LinkedIn für Aufklärungsarbeiten, bevor sie 81 Millionen US-Dollar von der Bank von Bangladesch stahlen.

Artikel von cyberscoop.com, 17.06.2020: How spies used LinkedIn to hack European defense companies
Artikel von reuters.com, 17.06.2020: Cyber spies use LinkedIn to hack European defence firms

Beitragsbild: Public Domain, Creative Commons CC0