Angriffe auf Kryptowährungs- und KI-Unternehmen

Als Vorbereitung richten die Angreifenden gefälschte Identitäten in beruflichen sozialen Netzwerken ein. Sie geben sich dabei als Recruiter bekannter Unternehmen aus. Bei einem Abwerbungsversuch wird den potenziellen Opfern, die zumeist Softwareentwickler oder Systemarchitekten sind, eine gut bezahlte Stelle in Aussicht gestellt. Im weiteren Verlauf sendet der vermeintliche Recruiter dem Opfer scheinbar harmlose legitime Dateien zu, die jedoch Schad-Software enthalten. Nach Ausführung dieser Software auf dem Gerät des Opfers richten die Angreifenden einen persistenten Zugriff ein. Danach können sie Wallets kompromittieren oder Forschungsdaten ausschleusen.

Zu diesen Ergebnissen kam der IT-Sicherheitsdienstleister Mandiant, der auch Kompromittierungsindikatoren (IoC: Indicator of Compromise) und Yara-Regeln veröffentlicht hat. Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) sieht in der Vorgehensweise der Angreifenden aufgrund der Attraktivität des deutschen Technologiestandorts eine erhöhte Gefährdungslage für Unternehmen in Deutschland. Dass Mandiant indes für Deutschland bislang keine Opfer bekannt sind, ist kein Widerspruch. Ziele der Angreifenden seien finanzieller Natur und das Abschöpfen wertvoller Informationen wie z. B. Forschungsergebnisse. Mandiant ordnet die Angriffe dem nordkoreanischen Akteurs-Cluster UNC1069 zu.

Unternehmen in den genannten Branchen sollten die Empfehlungen des LfV BW beachten:

• Sensibilisieren Sie Mitarbeitende in Entwicklungs- und in Personalabteilungen für eine Kontaktaufnahme durch unbekannte Recruiter.
• Öffnen Sie im Zuge von Bewerbungsverfahren eingegangene Dateien nur in isolierten Sandbox-Umgebungen.
• Richten Sie für den Zugriff auf Quellcode-Repositorys und auf Wallet-Management-Systeme eine Zwei-Faktor-Authentifizierung ein.
• Verwenden Sie die IoCs und die Yara-Regeln von Mandiant, um zu prüfen, ob Ihre Systeme betroffen sind (siehe Link unten).