Drohende Bruchlandung statt beruflicher Höhenflug
Überdurchschnittliche Gehälter, vielseitige Aufgaben und exzellente Aufstiegschancen machen die Lockheed Martin Corporation zu einem der attraktivsten Arbeitgeber der Vereinigten Staaten. Landet also ein Stellenangebot des begehrten Arbeitgebers im persönlichen Posteingang, so dürften wohl nur die wenigsten solcherart Auserkorenen darauf verzichten, einen Blick in die Offerte zu werfen.
Genau das ist das Kalkül einer der berüchtigsten Hacker-Gruppen der letzten Jahre: Lazarus, einer mit dem nordkoreanischen Staat in Verbindung gebrachten Cybercrime-Organisation, die wie jetzt bekannt wurde mit gefakten Stellenangeboten von Lockheed Martin die Rechner ihrer Opfer kompromittiert.
Raffinierte APT-Attacke auf ausgesuchte Zielpersonen
Ebenfalls unter den Namen Guardians of Peace oder Whois Team bekannt, attackiert Lazarus schon seit 2009 mit hohem technischen Know-how und vermutlich staatlicher Unterstützung Unternehmen, Organisationen und Regierungsbehörden in der ganzen Welt. Zu den bekanntesten Attacken dürfte der WannaCry Ransomware Angriff des Jahres 2017 gehören, von dem rund 200.000 Computer in 150 Ländern betroffen waren und der Schäden in Höhe von rund 4 Milliarden US-Dollar verursachte.
Die Techniken, die von den Lazarus-Kriminellen verwendet werden, sind dabei so ausgefeilt wie perfide. Kam im Falle von WannaCry einer der ersten bekannt gewordenen Kryptowürmer zum Einsatz, so handelte es sich bei der jetzt bekannt gewordenen Attacke um einen sogenannten Advanced Persistent Threat, kurz APT. Der Türöffner ist dabei das vermeintliche Jobangebot, welches als sogenannte „Spear-Phishing-Mail“ gezielt an einen bestimmten Personenkreis verschickt wird und bösartige Skripte enthält, welche die Systeme der Betroffenen infizieren und sich dort anschließend schrittweise ausbreiten, um einen noch weitreichenderen Zugang zu erlangen und Daten auf die eigenen Systeme zu übertragen.
Nicht schlau genug für Acronis Cyber Protect
Da APTs oft in der Lage sind, Codes selbständig und kontinuierlich zu ändern und so ihre Spuren weitestgehend verwischen können, sind sie nur sehr schwer aufzuspüren. Im vorliegenden Fall wurde der Windows Update Client so manipuliert, dass durch Ausführung einer bösartigen DLL das Auslösen einer Security-Warnung unterdrückt wurde.
Erkannt und blockiert werden können APT-Attacken jedoch über eine verhaltensbasierte und auf künstlicher Intelligenz aufbauende Identifikation ungewöhnlicher Aktivitäten. Sobald eine solche Verhaltensauffälligkeit registriert wird, wird die Ausführung eines schädlichen Skripts sofort gestoppt und die Malware hat keine Chance, sich im System zu etablieren. Und genau das geschah auch im Fall der vermeintlichen Lockheed Martin Jobangebote. Hatte eine der Zielpersonen der Attacke seinen Rechner mit Acronis Cyber Protect abgesichert, so lief der Angriff mit folgender Meldung ins Leere:
Mehr über Acronis Cyber Protect und seine einzigartige Technologie erfahren Sie hier.