Neue Super-Hackergruppe spionierte 18 Monate unerkannt in Großkonzernen

Hacker:innen greifen wichtige E-Mails ab. (Grafik: Shutterstock / ra2studio)
Eine bisher unbekannte Hackergruppe, die es speziell auf E-Mails von Mitarbeiter:innen großer Unternehmen, die sich mit großen Transaktionen oder Übernahmen beschäftigen, abgesehen haben soll, hat die IT-Sicherheitsfirma Mandiant jetzt entdeckt. Die UNC3524 getaufte Hackergruppe weist Ähnlichkeiten mit russischen Cyberspionagegruppen wie Fancy Bear oder Cosy Bear auf. Eine endgültige Verbindung zu Russland oder deren Hackergruppen konnte aber nicht nachgewiesen werden.
Die neue Hackergruppe dürfte laut den Angaben von Mandiant sehr versiert sein. Denn ihre Spionagesoftware blieb in einigen Fällen 18 Monate unentdeckt im System und konnte Informationen sammeln. Im Schnitt werden solche Hackingversuche innerhalb von 21 Tagen entdeckt. Besonders perfide: Selbst wenn es den IT-Abteilungen der betroffenen Unternehmen gelang, den Cyberkriminellen den Zugriff zu verwehren, benötigten diese nicht lange, um das System erneut zu entern. In manchen Fällen soll UNC3524 eine zweite alternative Hintertür (Backdoor) eingebaut haben.
Wie aber gelingt es der Hackergruppe, über einen so langen Zeitraum unentdeckt zu bleiben? Mandiant macht dafür unter anderem die Verwendung einer neuartigen Hintertür verantwortlich, die die Sicherheitsforscher:innen als Quietexit bezeichnen. Diese wird auf Netzwerkgeräten wie IP-Kameras installiert, die nicht über Antivirensoftware oder besondere Endpunkterkennung verfügen und sich wegen fehlender Sicherheitsvorkehrungen leicht von außen kapern lassen. Darüber soll laut Mandiant auch ein großes IoT-Botnetz installiert worden sein.
Nachdem die Hackergruppe einmal ins System gelangt war, bekam sie Anmeldeinformationen etwa für die E-Mail-Kommunikation in die Finger und griff E-Mails, insbesondere von Führungskräften, über lokale Exchange-Server oder Microsoft-365-Cloud-Konten ab. In den E-Mails von Mitarbeiter:innen der IT-Abteilungen suchten die Hacker:innen zudem nach Hinweisen darauf, ob ihr Eindringen schon bemerkt worden war, wie es von Mandiant heißt. Die Sicherheitsforscher:innen geben auf ihrer Website Hinweise, wie sich die Angreifer:innen entdecken lassen und wie man seine Schutzmaßnahmen optimieren kann.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team