Eine bisher unbekannte Hackergruppe, die es speziell auf E-Mails von Mitarbeiter:innen großer Unternehmen, die sich mit großen Transaktionen oder Übernahmen beschäftigen, abgesehen haben soll, hat die IT-Sicherheitsfirma Mandiant jetzt entdeckt. Die UNC3524 getaufte Hackergruppe weist Ähnlichkeiten mit russischen Cyberspionagegruppen wie Fancy Bear oder Cosy Bear auf. Eine endgültige Verbindung zu Russland oder deren Hackergruppen konnte aber nicht nachgewiesen werden.
Hackergruppe blieb lange unentdeckt
Die neue Hackergruppe dürfte laut den Angaben von Mandiant sehr versiert sein. Denn ihre Spionagesoftware blieb in einigen Fällen 18 Monate unentdeckt im System und konnte Informationen sammeln. Im Schnitt werden solche Hackingversuche innerhalb von 21 Tagen entdeckt. Besonders perfide: Selbst wenn es den IT-Abteilungen der betroffenen Unternehmen gelang, den Cyberkriminellen den Zugriff zu verwehren, benötigten diese nicht lange, um das System erneut zu entern. In manchen Fällen soll UNC3524 eine zweite alternative Hintertür (Backdoor) eingebaut haben.
Wie aber gelingt es der Hackergruppe, über einen so langen Zeitraum unentdeckt zu bleiben? Mandiant macht dafür unter anderem die Verwendung einer neuartigen Hintertür verantwortlich, die die Sicherheitsforscher:innen als Quietexit bezeichnen. Diese wird auf Netzwerkgeräten wie IP-Kameras installiert, die nicht über Antivirensoftware oder besondere Endpunkterkennung verfügen und sich wegen fehlender Sicherheitsvorkehrungen leicht von außen kapern lassen. Darüber soll laut Mandiant auch ein großes IoT-Botnetz installiert worden sein.
Kriminelle durchforsten wichtige E-Mails
Nachdem die Hackergruppe einmal ins System gelangt war, bekam sie Anmeldeinformationen etwa für die E-Mail-Kommunikation in die Finger und griff E-Mails, insbesondere von Führungskräften, über lokale Exchange-Server oder Microsoft-365-Cloud-Konten ab. In den E-Mails von Mitarbeiter:innen der IT-Abteilungen suchten die Hacker:innen zudem nach Hinweisen darauf, ob ihr Eindringen schon bemerkt worden war, wie es von Mandiant heißt. Die Sicherheitsforscher:innen geben auf ihrer Website Hinweise, wie sich die Angreifer:innen entdecken lassen und wie man seine Schutzmaßnahmen optimieren kann.