Forscher decken Hacker-for-Hire-Gruppe auf, die seit 2015 aktiv ist

  • Eine neue Cyber-Söldner-Hackergruppe mit dem Namen “Void Balaur” wurde mit einer Reihe von Cyberspionage- und Datendiebstahlsaktivitäten in Verbindung gebracht, die mindestens seit 2015 Tausende von Unternehmen sowie Menschenrechtsaktivisten, Politiker und Regierungsbeamte auf der ganzen Welt ins Visier genommen haben, um sich finanziell zu bereichern, während sie im Verborgenen lauerten.

    Der Gegner, der nach einem vielköpfigen Drachen aus der rumänischen Folklore benannt ist, wurde enttarnt, als er seit 2017 in russischsprachigen Untergrundforen für seine Dienste warb und Unmengen an sensiblen Informationen wie Telefonprotokolle von Mobilfunknetzen, Fluggastdaten, Kreditauskünfte, Bankdaten, SMS-Nachrichten und Passdaten verkaufte. Der Bedrohungsakteur nennt sich selbst “Rockethack”.

    “Diese Hacker-for-hire-Gruppe operiert weder von einem physischen Gebäude aus, noch hat sie einen glänzenden Prospekt, der ihre Dienstleistungen beschreibt”, sagte Trend Micro-Forscher Feike Hacquebord in einem neu veröffentlichten Profil des Kollektivs.

    [Blocked Image: https://thehackernews.com/images/-DVj5Uq05ZlA/YVHQqZ1yK1I/AAAAAAAA4Z0/_vfyQiMOAJUPXrS2DwuAwOa6sxkUDm9ogCLcBGAsYHQ/s728-e100/rewind-1-728.png]

    “Die Gruppe versucht nicht, sich aus einer schwierigen Lage herauszuwinden, indem sie sich rechtfertigt, und ist auch nicht in Prozesse gegen Personen verwickelt, die versuchen, über ihre Aktivitäten zu berichten. Stattdessen spricht diese Gruppe ganz offen darüber, was sie tut: Sie bricht für Geld in E-Mail-Konten und Konten in sozialen Medien ein”, so Hacquebord weiter.

    Void Balaur erhielt nicht nur fast einstimmig positive Bewertungen in den Foren für seine Fähigkeit, qualitativ hochwertige Informationen zu liefern, sondern soll sich auch auf Kryptowährungsbörsen konzentriert haben, indem er zahlreiche Phishing-Seiten erstellt hat, um Benutzer von Kryptowährungsbörsen auszutricksen, um unbefugten Zugriff auf ihre Geldbörsen zu erhalten. Darüber hinaus hat das Söldnerkollektiv einen Informationsdieb namens Z*Stealer und Android-Malware wie DroidWatcher gegen seine Ziele eingesetzt.

    Es wurde beobachtet, dass Void Balaur eine Vielzahl von Personen und Einrichtungen angreift, darunter Journalisten, Menschenrechtsaktivisten, Politiker, Wissenschaftler, Ärzte in IVF-Kliniken, Genomik- und Biotechnologieunternehmen sowie Telekommunikationsingenieure. Trend Micro gab an, mehr als 3.500 E-Mail-Adressen entdeckt zu haben, auf die es die Gruppe abgesehen hatte.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEh8z6z_b3Zb1oMoWRXOvAGGgm9PdieyK61qvMLncTvDaqLxCQQPwA9omNuUEJsoBL7AwFMVGpxRJZLuaz7tq-59b9Pu5ulfWX-XqdNIB_d8OtsPnoNQx2jcYGPiDBX9xyvz3T7whPr8MWYe-qWS3wrrHY2krLlrUokkNu6EWWhNibRN-bMW59Yl-y7r]

    Die meisten Ziele der Gruppe sollen sich in Russland und anderen Nachbarländern wie der Ukraine, der Slowakei und Kasachstan befinden, aber auch in den USA, Israel, Japan, Indien und anderen europäischen Ländern gibt es Opfer. Die Palette der angegriffenen Organisationen reicht von Telekommunikationsanbietern, Satellitenkommunikationsunternehmen und Fintech-Firmen bis hin zu Anbietern von Geldautomaten, Point-of-Sale (PoS)-Anbietern und Biotech-Unternehmen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjQMi4lgEKTaWl6GrcjsM5J9jWrPuooPwLz8hu0-HBDBD_uQNI-y1eKcb6WI5JhcfbY-JwtBa_71GG8OINtGS-MxeDO7Uw2Wh5rtJUANIlEqNvnAiB1u4VEg5D63O95OQBLQA5pQHXvW3YXU_i55yYpO92HPkqFoDfW1xv2GdxNQnW82ekJs-TqPgEj]

    “Void Balaur hat es auf die privatesten und persönlichsten Daten von Unternehmen und Einzelpersonen abgesehen und verkauft diese Daten dann an jeden, der dafür bezahlen möchte”, so die Forscher. Der Grund, warum diese Personen und Unternehmen ins Visier genommen wurden, ist noch nicht bekannt.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjroUYWGWF6ANYSlhINESqbDe-dAbLY7J_eHPc2ivPLPwExQMSjmbBsEAtU_8Wd63QnEAYDIPk1guGcnfhgeTmCV-z7FP1E4zKJGJjqdmV5MfLNPno4lIFMX99nyXCZI2sDWDQ-cnh1PDUrn3uDxuClEWsiu-4iSpD8e850lb79k-m6lEPWWCU3D62Q]

    Es ist nicht sofort klar, wie sensible Telefon- und E-Mail-Datensätze von den Zielpersonen ohne Interaktion erworben werden, obwohl die Forscher vermuten, dass der Bedrohungsakteur entweder direkt (oder indirekt) böswillige Insider in den betroffenen Unternehmen involviert haben könnte, um die Daten zu verkaufen, oder durch die Kompromittierung von Konten wichtiger Mitarbeiter mit Zugang zu den gezielten E-Mail-Postfächern.

    Die Tiefenanalyse von Trend Micro hat auch einige Gemeinsamkeiten mit einer anderen in Russland ansässigen Advanced Persistent Threat Group namens Pawn Storm (auch bekannt als APT28, Sofacy oder Iron Twilight) festgestellt, wobei Überschneidungen bei den anvisierten E-Mail-Adressen zwischen den beiden Gruppen beobachtet wurden, die sich jedoch auch in einigen Punkten deutlich unterscheiden, einschließlich des Modus Operandi von Void Balaur, Kryptowährungsnutzer anzugreifen, und ihrer Betriebszeiten.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Wenn überhaupt, dann unterstreicht diese Entwicklung einmal mehr die rasant zunehmenden illegalen Söldneraktivitäten im Cyberspace und die Nachfrage nach solchen Diensten. In den letzten Monaten wurden mehrere Operationen – BellTroX (auch bekannt als Dark Basin), Bahamut, CostaRicto und PowerPepper – aufgedeckt, die es auf Finanzinstitute und Regierungsbehörden abgesehen hatten.

    Um sich vor den Hackerangriffen zu schützen, wird empfohlen, die Zwei-Faktor-Authentifizierung (2FA) über eine Authentifizierungs-App oder einen Hardware-Sicherheitsschlüssel zu aktivieren, sich auf Apps mit Ende-zu-Ende-Verschlüsselung (E2EE) für E-Mails und Kommunikation zu verlassen und alte, unerwünschte Nachrichten dauerhaft zu löschen, um das Risiko der Datenexposition zu verringern.

    “Die Realität ist, dass normale Internetnutzer einen entschlossenen Cybersöldner nicht so leicht abschrecken können”, so die Forscher. “Während [advanced offensive tools in a cyber mercenary’s arsenal] im Kampf gegen Terrorismus und organisierte Kriminalität eingesetzt werden sollen, ist es in Wirklichkeit so, dass sie – wissentlich oder unwissentlich – in den Händen von Bedrohungsakteuren landen, die sie gegen unwissende Ziele einsetzen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com