Hacker nutzen Stellensuche auf LinkedIn für Phishing

Dafür kommen falsche Profile angeblicher Mitarbeiter der Personalabteilungen von Teledyne oder auch Northrop Grumman zum Einsatz. Sie sammeln Daten für spätere Angriffe auf Telekom-Firmen, Regierungsbehörden und Rüstungsunternehmen. Die Gruppe Threat 2889 operiert wahrscheinlich vom Iran aus.

Eine vermutlich aus dem Iran stammende Hackergruppe hat ein raffiniertes Phishing-System aufgezogen, um Beschäftigte in Telekommunikationsfirmen, Regierungsbehörden und Rüstungsunternehmen angreifen zu können. Dies beschreibt Dell Secureworks in einer jetzt vorgelegten Analyse. Die Threat 2889 getaufte Gruppe hat demnach mindestens 25 falsche, aber glaubwürdig wirkende Profile in dem Social Network erstellt.

Falsches LinkedIn-Profil eines Mitarbeiters der Teledyne-Personalabteilung (Screenshot: Dell Secureworks)Falsches LinkedIn-Profil eines Mitarbeiters der Teledyne-Personalabteilung (Screenshot: Dell Secureworks)

Die vorgetäuschten LinkedIn-Mitglieder verfügen über eine umfangreiche Arbeitsbiografie und rund 500 Kontakte, die ihnen Glaubwürdigkeit verschaffen. Sie geben vor, für ihren Arbeitgeber auf der Suche nach Mitarbeitern zu sein.

Die Analyse von Secureworks baut auf Enthüllungen von Cylance im Dezember 2014 (PDF) auf. Cylance beschrieb eine iranische Gruppe namens Cleaver, die im Lauf von zwei Jahren etwa 50 Firmen in Europa, dem Mittleren Osten und Nordamerika gehackt hatte, darunter Militäreinheiten, Fluglinien, Flughäfen, Universitäten, Rüstungsfirmen und Energieversorger. Secureworks glaubt aufgrund „starker Indizien“, dass es zwischen beiden eine Verbindung gibt.

Cylance zufolge nutzen diese Hacker eine Reihe Angriffstechniken, unter anderem SQL Injection, Software-Exploits und eine für die Überwachung von Opfern eine Variante der Zeus-Malware namens TinyZBot. Letztere kann Tastatureingaben aufzeichnen, Screenshots erstellen, Antivirenprogramme deaktivieren und neue Komponenten aus der Ferne nachladen.

Diese Malware wurde als System zum Einsenden von Lebensläufen getarnt. Vorgeblich konnte man sich damit bei Teledyne Technologies bewerben. Beide Sicherheitsanbieter weisen darauf hin, dass auch Domains eingerichtet wurden, die sich für Personalsuche-Websites der realen Unternehmen Teledyne, Doosan und Northrop Grumman ausgaben.

(Bild: Linkedin)Cylance konstatiert weiter, dass die Gruppe ihren Betrieb offenbar nach dem Stuxnet-Vorfall aufnahm. Stuxnet war eine nach heutigem Wissen wohl von den USA und Israel in die Welt gesetzte Malware, die das Atomforschungsprogramm des Iran sabotieren sollte.

LinkedIn hat sich zu einer wichtigen Anlaufstelle für Hacker entwickelt, die Informationen über Ziele in bestimmten Branchen sammeln. Im September 2015 waren Mitarbeiter von F-Secure und anderer Sicherheitsfirmen von falschen Personalern via LinkedIn kontaktiert worden. Laut Yonathan Klijnsma von Fox-IT aus den Niederlanden ging es darum, soziale Verbindungen innerhalb der Branche auszuschnüffeln. Mehr Details kamen nicht ans Licht. Einen Monat nach der Aufnahme verschwand der falsche Personalmitarbeiter wieder aus den LinkedIn-Verbindungen seiner Opfer.

[mit Material von Liam Tung, ZDNet.com]

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Cylance, Dell, Hacker, LinkedIn, Phishing, SecureWorks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker nutzen Stellensuche auf LinkedIn für Phishing

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *