Wie Hacker:innen per Minesweeper Unternehmen attackieren
Hacker starten Cyberangriffe über einen Minesweeper-Klon. (Bild: tete_escape / Shutterstock)
Das Computerspiel Minesweeper ist ein Klassiker, es gab bis Windows 7 kein Windows-System, auf dem es nicht mit dabei war. Da es viele Menschen sehr lange begleitet hat, gibt es heutige zahlreiche Klone davon im Netz. Das generiert noch heute eine gewisse Aufmerksamkeit für Minesweeper.
Systeme internationaler Finanz- und Versicherungsunternehmen infiltriert
Genau das versuchen Hacker:innen für sich zu nutzen. Laut einem Bericht des Computer Emergency Response Team, einer spezialisierte Einheit des Staatlichen Zentrums für Cyberabwehr der Ukraine, setzen Cyberkriminelle einen Minesweeper-Klon ein, um Systeme internationaler Finanz- und Versicherungsunternehmen zu infiltrieren.
Laut Golem steckt hinter den Cyberangriffen die unter der Bezeichnung UAC-0188 bekannte Hackergruppe. Sie habe einen Schadcode im Spiel versteckt, um darüber eine Software namens Superops RMM auf die attackierten System zu bekommen. Mit dieser versuchen sie, sich einen Fernzugriff darauf zu sichern.
So kommt der Schadcode auf die angegriffenen Systeme
Versendet wird das gefährliche Paket per Email, der Absender sei häufig die Emailadresse „support@patient-docs-mail.com“, wie Bleeping Computer schreibt. Die Cyberkriminellen versuchen, die Email-Empfänger:innen dazu zu verleiten, über einen Dropbox-Link eine 33 MByte große SCR-Datei herunterzuladen.
In dieser Datei ist nicht nur der harmlose Minesweeper-Klon, sondern auch eine Base64-kodierte Zeichenfolge im Umfang von 28 MByte. Über diese wird der Versuch unternommen, den Schadcode auf die angegriffenen System zu bringen. Gelingt das, wird dann über Superops RMM der Fernzugriff eingerichtet.
Ukrainische Cyber-Expert:innen nennen keine Namen
Die ukrainische Cyberabwehr stieß bei ihren Untersuchungen auf fünf weitere Dateien, die der SCR-Datei ähnelten. Sie sollen auch die Namen von Finanz- und Versicherungsinstituten in Europa und den USA enthalten, auf die wohl im Zeitraum Februar und März 2024 Cyberangriffe gestartet wurden. Die Namen der betroffenen Unternehmen nennen die ukrainischen Cyber-Expert:innen nicht.
Im Bericht ist auch ein Ratschlag für Unternehmen zu finden, die Superops RMM nicht im Einsatz haben. Die Empfehlung lautet, ihre Netzwerkaktivitäten auf Verbindungen zu den Domains superops.com und superops.ai hin zu untersuchen. So könnten potenziell infiltrierte Systeme ausfindig gemacht werden, schreibt Golem.
