Google-Warnung: Staatliche Spione tarnen sich als Sicherheitsforscher

Ein Security-Blog mit Fake-Content, falsche Social-Media-Profile und Visual Studio-Projekte mit verstecktem Schadcode sollen Forscher in eine Falle locken.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen

(Bild: Shutterstock.com / FotoMaxine)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Googles Threat Analysis Group (TAG) warnt derzeit vor Aktivitäten einer wohl staatlich unterstützten, Nordkorea zugeordneten Gruppe, die Sicherheitsforscher auszuspionieren versucht. Ihre Vorgehensweise ist ungewöhnlich: Die Akteure geben sich selbst als Forscher aus und versuchen, auf diese Weise das Vertrauen ihrer potenziellen Opfer zu erlangen.

Als einer der Dreh- und Angelpunkte ihrer Aktivitäten dient der Gruppe offenbar ein eigens zu diesem Zweck eingerichteter IT-Sicherheits-Blog, der noch immer online ist. Um Sicherheitsforscher dorthin zu locken, legten die Gangster unter anderem mehrere Twitter-Profile an, um auf angeblich von ihnen entdeckte Bugs und erfolgreiche Exploits hinzuweisen. Sie nutzten aber auch noch weitere Kommunikationskanäle wie E-Mail, LinkedIn, Telegram und Keybase, um mit Forschern direkt ins Gespräch zu kommen.

Die Gruppe veröffentlichte offenbar auch Videos ihrer angeblich gelungenen Exploit-Versuche bei YouTube. Laut TAG waren diese "Erfolge" aber mindestens in einigen Fällen nur vorgetäuscht – wenn auch sehr sorgfältig. Die Inhalte des Blogs wiederum beziehen sich offenbar auf echte Schwachstellen, deren Details neu zusammengefasst wurden. Dabei legten die Kriminellen auch vermeintliche "Gastbeiträge" an, die sie mit prominenten Namen aus der IT-Sicherheitsszene schmückten.

Über die hier angezeigten (durchweg gefälschten) Twitter-Accounts (re-)tweeteten die Angreifer ihre angeblichen Forschungsergebnisse.

(Bild: Google)

Auch die von der Gruppe gewählte Vorgehensweise beim Social Engineering ist ungewöhnlich: Nach der ersten Kontaktaufnahme wurden Forscher gefragt, ob sie nicht Lust hätten, gemeinsam im Zuge der Schwachstellenforschung an einem Visual Studio-Projekt zu arbeiten. Das fragliche Projekt enthielt laut Google eine DLL, die im Zuge des Build-Prozesses des Projekts automatisch durch Visual Studio ausgeführt wird. Es handele sich dabei um Schadcode, der unmittelbar nach der Ausführung Kontakt mit Command-and-Control Domains aufnehme.

In anderen Fällen sei beim Besuch des gefälschten Blogs Malware mit Backdoor-Funktion auf Systemen installiert worden. Hierbei habe es sich jeweils um Windows-(10-)Systemn mit aktuellem Patchlevel und neuester Chrome-Browser-Version gehandelt. Wie der Angriff vonstatten ging und ob etwa eine 0-Day-Lücke ausgenutzt wurde, ist unklar. Ingesamt seien Malware-Aktivitäten im Zuge dieser Angriffskampagne bislang nur auf Windows-Rechnern beobachtet worden.

Besser nicht besuchen: Auf dem noch immer erreichbaren Fake-Blog könnte weiterhin Malware lauern.

(Bild: Screenshot)

Der Blogeintrag der Threat Analysis Group mahnt Sicherheitsforscher zur Wachsamkeit im Umgang mit ihnen unbekannten Personen (und von diesen Personen angebotenen Dateien) aus dem IT-Sicherheitsumfeld. Er enthält außerdem eine Liste mit Indicators of Compromise (IoC) in Bezug auf die aktuelle Angriffskampagne: Sie umfasst unter anderem in der Vergangenheit von der Gruppe verwendete Social-Media-Profile, die Domains von Blog und C2-Servern und Angaben zum Schadcode und im Zuge einer Infektion vorgenommenen Änderungen.

(ovw)