Auftrags-Hacks rund um ExxonMobil und Wirecard aufgedeckt
Kanadische Sicherheitsforscher haben einen der größten kommerziellen Hackerangriffe gegen Ziele in aller Welt entdeckt. Im Visier standen laut den Entdeckern des Citizen Lab der University of Toronto Journalisten, Regierungsvertreter, Anwälte, Hedgefonds, Wirtschaftsvertreter sowie Umweltschützer und Menschenrechtsaktivisten.
Zurückzuführen seien die Angriffe auf eine Gruppe Auftrags-Hacker, der die Forscher den Namen Dark Basin gaben. Diese stehe “mit hoher Wahrscheinlichkeit” in Verbindung mit der indischen IT-Firma BellTroX InfoTech Services.
Tech-Krimi
Angefangen hatte es damit, dass ein nicht genannter Journalist Citizen Labs im Jahr 2017 kontaktierte. Er war Opfer von Phishing-Angriffen geworden und bat um Hilfe bei der Untersuchung. Beim sogenannten Phishing versuchen (meist kriminelle) Angreifer durch betrügerische E-Mails, an geheime Daten des Opfers zu kommen und beispielsweise Zugangsdaten oder Geld zu erbeuten.
Die Forscher gelangten über die Phishing-Versuche zu einem privaten sogenannten URL-Shortener, einem Dienst um Internetadressen (URL) abzukürzen. Solche Dienste können auch dazu verwendet werden, die eigentliche Ziel-Webseite eines Links zu verschleiern. Der Nutzer oder die Nutzerin sieht dann eine andere Webadresse als die, die er letztendlich ansteuert, wenn er auf den Link klickt.
Außerdem stießen die Forscher auf ein ganzes Netzwerk von Webadressen, die für die Phishing-Angriffe genutzt wurden – und die E-Mail-Adressen der Opfer beinhalteten. Da die URLs aufsteigend nummeriert waren, konnten die Forscher weitere Hunderte Zielpersonen der Attacken ausmachen und diese kontaktieren. Dabei stellten sich Verbindungen zwischen den Opfern heraus und es schienen bestimmte Gruppen gezielt attackiert worden zu sein.
Deutliche Hinweise auf den Urheber
Bei der Untersuchung der URL-Shortener fanden die Forscher Hinweise auf BellTroX Info Tech. Die Zeitstempel in den Phishing-Mails korrelierten außerdem mit den üblichen Arbeitszeiten in Indien und es fanden sich zahlreiche indische Begriffe in den verwendeten Internetadressen.
Auf der Firmenwebseite soll BellTroX mit Dienstleistungen wie “Ethical Hacking” und “Certified Ethical Hacker” geworben haben. Laut Citizen Labs wurde die Internetseite aber am 7. Juni 2020 kurz vor der Veröffentlichung der Recherchen offline genommen. Auch wurden Social-Media-Einträge gelöscht, die auf die Arbeit des Unternehmens hinwiesen.
Exxon-Kritiker im Visier
Unter den ermittelten Zielpersonen befanden sich unter anderem US-amerikanische Umweltschützer, die sich im Rahmen der Kampagne “#ExxonKnew” gegen den Ölkonzern ExxonMobil engagiert hatten. Sie warfen dem Unternehmen vor, durch die eigene Forschung bereits über 50 Jahre lang vom drohenden Klimawandel gewusst zu haben. Der Konzern habe aber dieses Wissens verheimlicht und systematisch falsche Informationen gestreut und sowohl die Öffentlichkeit als auch die Aktionäre wissentlich getäuscht.
Die Streitigkeiten zwischen ExxonMobil und den Aktivisten endete in einem Rechtsstreit. Laut Citizen Lab nahmen die Hacker-Angriffe auffällig zu, wenn es in der juristischen Auseinandersetzung wichtige Entwicklungen gab. Auch Familienmitglieder der Kampagnenteilnehmer wurden angegriffen, sogar ein Kind war darunter.
Hinweise auf den Fall Wirecard
Ein Großteil der Angriffe ging auch in Richtung der Finanzindustrie. Dort sind Konzerne, Hedgefonds und Journalsiten betroffen. Auffällig ist hier, dass sich unter den Opfern viele Spekulanten befinden, die auf fallende Kurse des deutschen Finanzdienstleisters Wirecard gesetzt hatten, sogenannte Short Seller.
Auch Reporter, die über die immer wiederkehrenden Vorwürfe gegen den umstittenen Finanzdienstleister berichtet hatten, wurden attackiert. Der selbsternannte Recherchedienst “Zatarra” hatte damals angebliche Leaks zu Finanzmanipulationen veröffentlicht, die den Kurs von Wirecard stark hatten fallen lassen und Leerverkäufern in die Hände spielten. Unter anderem ermittelte das Amtsgericht München in dem Fall, es ließ die Klage aber im Mai 2020 gegen Geldauflagen fallen.
Die Hacker veröffentlichten private E-Mails einiger Kritiker von Wirecard in Foren. Diese waren offensichtlich bei den Angriffen erbeutet wurden. Die Nachrichten geben Korrespondenz zwischen Journalisten und ihren Quellen wieder. Die Hacking-Opfer gaben gegenüber Citizen Lab an, dass die Nachrichten im falschen Kontext dargestellt werden und teils inhaltlich verändert wurden. Die Forscher haben die Vermutung, dass die Mails zwar von Dark Basin erbeutet wurden, aber jemand anderes sie aufbereitet und veröffentlicht hat. Das schließen sie aus der Art der Formulierungen und der Darstellung.
Auftraggeber unbekannt
Die Recherchen der Forscher liefen über drei Jahre. Die Hacking-Kampagne übersteige das Ausmaß aller bisher untersuchten gezielten Aktivitäten dieser Art, so Citizen Lab. Die Forscher haben nach eigener Aussage bereits Hunderte Betroffene über die Angriffe informiert und unterstützen sie nun bei der Bekämpfung. Die Forscher haben außerdem das US-Justizministerium mit Informationen über die Fälle versorgt. Weitere Zielpersonen sollen in Zukunft informiert werden.
Bislang gäbe es keine “starken Beweise”, die auf einen bestimmten Auftraggeber hinweisen. Die Angriffe seien aber so gezielt erfolgt, dass die Auftraggeber vermutlich gezielte Instruktionen gaben.
Die Forscher konnten die Hacker beim Verwenden gestohlener Zugangsdaten beobachten. Das sei ein Hinweis, dass sie zumindest in einigen Fällen erfolgreich waren.
Der Geschäftsführer von BellTrox Sumit Gupta wurde bereits im Jahr 2015 in Kalifornien wegen eines Auftrags-Hacks in einem anderen Fall angeklagt. Das FBI bemüht sich momentan ihm habhaft zu werden. Gupta hält sich vermutlich in Indien auf. BellTroX Werbe-Claim lautet “you desire, we do!”. (hcz)