FIN4: Hackergruppe auf der Jagd nach Insiderinformationen

Sie sind auf der Suche nach Daten, mit denen sich der Börsenhandel manipulieren lässt. Um an interne Firmenkommunikation heranzukommen, kapern die Online-Kriminellen E-Mail-Konten und hinterlassen dabei nur wenige Spuren.

Die Sicherheitsforscher von FireEye haben eine Gruppe von Online-Kriminellen ausgemacht, die an Informationen kommen, ohne die Rechner ihrer Opfer dauerhaft zu infizieren. Die Gruppe soll seit Mitte letzten Jahres über hundert börsennotierte Unternehmen oder deren Anwalts- und Beraterfirmen ausspioniert haben. Ziel ist es offenbar, an geheime Informationen über Firmenkäufe, Übernahmen und ähnliche Ereignisse zu kommen, die den Kurs des Unternehmens beeinflussen könnten.

Hat man vorweg Kenntnis über solche Planungen, kann man entweder selbst den Markt manipulieren oder die Informationen gewinnbringend verkaufen. Genau das soll die Gruppe, die FireEye „FIN4“ nennt, getan haben. Fast 70 Prozent der Firmen, die angegriffen wurden, sind börsennotierte Pharma- oder Gesundheitsunternehmen. FireEye geht davon aus, dass dies der Fall ist, weil die Aktien solcher Firmen oft großen Schwankungen unterliegen – zum Beispiel bei Veröffentlichungen von klinischen Studien oder Rechtsstreitigkeiten mit anderen Firmen.

Fingierte Dokumente manipulieren Entscheider

Um an die Informationen zu kommen, bedient sich die Gruppe bekannter Spear-Phishing-Methoden: Entscheidungsträger, deren Anwälte und externe Berater werden gezielt über E-Mails angesprochen, um an die Login-Daten ihrer E-Mail-Konten zu kommen. Mit diesen Informationen können die Hacker dann den Mail-Verkehr der Opfer überwachen und gegebenenfalls tiefer in das Netzwerk der Firma eindringen. Die Hacker hätten aber auch Führungskräften manipulierte Dokumente zugespielt, um deren Entscheidungen zu manipulieren.

FireEye hebt die Finesse der Hacker besonders hervor. So seien die Phishing-E-Mails in perfektem Englisch formuliert worden. Auch seien die Kriminellen äußerst gewandt in der Sprache der Finanzwelt und wüssten ganz genau, wonach sie suchen. Oft werden E-Mails von gekaperten Konten aus versandt, kommen also von legitimen Adressen und sind Teil von E-Mail-Konversationen, die bereits laufen. Das gewonnene Vertrauen missbrauchen die Gauner dann, um den Opfern Schadcode zu schicken, der als VBA-Macro in legitime Dokumente eingebettet ist und sie auffordert, ihr E-Mail-Login einzugeben.

Um ihr Tun zu verschleiern, legen die Täter Outlook-Filterregeln an, durch die Mails automatisch gelöscht werden, die Schlüsselwörter wie „Phishing“, „Virus“, oder „Hacked“ enthalten. Versucht also ein Kollege das Opfer in spe vor dem kriminellen Treiben zu warnen, landet der wertvolle Hinweis unter Umständen geradewegs im digitalen Nirvana. (fab)