Cyberkriminelle Gruppierung Fin4 zielt auf börsenrelevante Insider-Informationen
Fireeye beobachtet mehr als 100 Angriffe per Social-Engineering-Taktik
Sicherheitsspezialist Fireeye informiert in einem neuen Bericht über die Vorgehensweise einer bisher unbekannten Gruppierung Cyberkrimineller namens Fin4. Die Gruppierung nimmt vorrangig Insider-Informationen ins Visier, die für den Handel an der Börse relevant sind. Die Angriffe, die Fireeye seit Mitte des Jahres 2013 beobachtet, betrafen bisher rund 100 börsennotierte Unternehmen aus der Healthcare- und Pharmabranche sowie Beratungsunternehmen, die mit der Branche in Zusammenhang stehen.
Die Ergebnisse des Berichts legen nahe, dass es sich bei den Angreifern um englischsprachige Akteure mit umfangreichem Fachwissen handelt. Möglicherweise operieren die Angreifer von den USA aus; auch ein Standort in Westeuropa ist denkbar. Sie lassen sowohl branchenspezifische Kenntnisse als auch Erfahrungen mit dem Finanzwesen vermuten. Von der Gruppierung berührte Informationen beinhalteten Interna zu Produktentwicklung, Rechtsstreitigkeiten und Übernahmen anderer Firmen. Die Forscher von Fireeye gehen davon aus, dass Fin4 finanzielle Interessen verfolgt und mit den Informationen handelt, die sie bei den betroffenen Unternehmen entwenden.
Ein besonderes Merkmal der Gruppierung ist der Verzicht auf Malware-Einsatz. Statt der Infizierung ihrer Zielnetzwerke mit Schadcode, setzt Fin4 auf zielgerichtete Social-Engineering-Taktiken und den Einsatz von manipulierten Dateien. Dadurch entgehen die Angreifer herkömmlichen Mechanismen zur Erkennung von Bedrohungen. Weitere Nachforschungen von Fireeye zeigten, dass die Cyberkriminellen nicht nur sehr fortschrittliche Angriffsmethoden anwenden, sondern auch die von ihnen übertragenen Daten mit anspruchsvollen Techniken vor Entdeckung schützen.
Akamai: Weltweit verteilte Verteidigungslinien
Websense warnt vor mehr MITM-Angriffen
Kaspersky Lab: Spionage per Smartphone
F-Secure: Industriespionage per Trojaner
BT: Internet-Angriffe leichter identifizieren und visualisieren
Die im Bericht zusammengetragenen Informationen zu Fin4 stammen aus Incident-Response-Engagements bei Kunden des Managed-Service-Angebots von Fireeye und weiterführender unabhängiger Forschung. Durch ihre Angriffe hat die Gruppierung Zugriff auf Insider-Informationen, die signifikanten Einfluss auf den Aktienkurs mehrerer Dutzend börsennotierter Unternehmen haben und ihren Nutzern wesentliche Vorteile beim Aktienhandel ermöglichen könnten.
Den vollständigen Bericht von Fireeye gibt es hier zum Download: www2.fireeye.com/fin4.html.
Darüber hinaus hat Fireeye Indikatoren veröffentlicht, die Unternehmen dabei helfen, Aktivitäten von Fin4 zu erkennen: github.com/fireeye/iocs/tree/master/FIN4.
Lesen Sie mehr zum Thema
