Die Cybersicherheitsbehörde der US-Regierung hat davor gewarnt, dass kriminelle, finanziell motivierte Hacker Bundesbehörden mit legitimer Remote-Desktop-Software kompromittiert haben.
CISA sagte in einem gemeinsamen beratend gegenüber der National Security Agency am Mittwoch, dass sie eine „weit verbreitete Cyberkampagne mit der böswilligen Verwendung von legitimer Fernüberwachungs- und Verwaltungssoftware (RMM)“ identifiziert habe, die auf mehrere Bundesbehörden der zivilen Exekutive – bekannt als FCEBs – abzielte, eine Liste, die das Heimatland enthält Sicherheit, das Finanzministerium und das Justizministerium.
CISA sagte, es habe erstmals im Oktober mutmaßliche böswillige Aktivitäten auf zwei FCEB-Systemen identifiziert, als es eine retrospektive Analyse mit Einstein durchführte, einem von der Regierung betriebenen Intrusion Detection System, das zum Schutz von Netzwerken ziviler Bundesbehörden verwendet wird. Weitere Analysen führten zu dem Schluss, dass viele andere Regierungsnetzwerke ebenfalls betroffen waren.
CISA verband diese Aktivität zuerst mit einer finanziell motivierten Phishing-Kampagne unbedeckt von der Threat-Intelligence-Firma Silent Push. Aber CISA nannte die betroffenen FCEB-Agenturen nicht – und antwortete nicht auf die Fragen von Tech.
Die namenlosen Angreifer hinter dieser Kampagne begannen laut CISA Mitte Juni 2022 damit, Helpdesk-Phishing-E-Mails an Regierungsbeamte und private E-Mail-Adressen von Bundesangestellten zu senden. Diese E-Mails enthielten entweder einen Link zu einer bösartigen Website der „ersten Phase“, die sich als hochkarätige Unternehmen wie Microsoft und Amazon ausgab, oder forderten das Opfer auf, die Hacker anzurufen, die dann versuchten, die Mitarbeiter dazu zu bringen, die bösartige Domäne zu besuchen.
Diese Phishing-E-Mails führten zum Download legitimer Fernzugriffssoftware – ScreenConnect (jetzt ConnectWise Control) und AnyDesk – die die namenlosen Hacker im Rahmen eines Rückerstattungsbetrugs verwendeten, um Geld von den Bankkonten der Opfer zu stehlen. Diese selbst gehosteten Fernzugriffstools können IT-Administratoren mit minimaler Interaktion des Benutzers einen nahezu sofortigen Zugriff auf den Computer eines Mitarbeiters ermöglichen, aber diese haben von Cyberkriminellen missbraucht wurden um überzeugend aussehende Betrügereien zu starten.
In diesem Fall nutzten die Cyberkriminellen laut CISA die Fernzugriffssoftware, um den Mitarbeiter zum Zugriff auf sein Bankkonto zu verleiten. Die Hacker nutzten ihren Fernzugriff, um die Zusammenfassung des Bankkontos des Empfängers zu ändern. „Die Angreifer verwendeten die Fernzugriffssoftware, um die zusammenfassenden Informationen des Bankkontos des Opfers zu ändern, um zu zeigen, dass sie irrtümlicherweise einen überschüssigen Geldbetrag zurückerstattet hatten, und wiesen das Opfer dann an, diesen überschüssigen Betrag zu ‚erstatten’“, sagte CISA.
CISA warnt davor, dass die Angreifer auch legitime Fernzugriffssoftware als Hintertür verwenden könnten, um dauerhaften Zugriff auf Regierungsnetzwerke aufrechtzuerhalten. „Obwohl diese spezifische Aktivität finanziell motiviert zu sein scheint und auf Einzelpersonen abzielt, könnte der Zugriff zu zusätzlichen böswilligen Aktivitäten gegen die Organisation des Empfängers führen – sowohl von anderen Cyberkriminellen als auch von APT-Akteuren“, heißt es in dem Gutachten.