Ölproduzenten sind Opfer einer Hacking-Operation geworden. Die Täter gaukelten Kompetenz vor und infizerten ihre Systeme mit Agent Tesla.
Ein äußerst kompetent ausgeführter Hackerangriff ging neben den Tumulten rund um den sinkenden Rohölpreis unter. Unbekannte infizierten dabei IT-Systeme von Unternehmen aus der Öl- und Gasindustrie mit der Spyware Agent Tesla. Über die Attacke berichtete der Tech-Blog ars technica.
Agent Tesla dank ausgeklügelter Herangehensweise installiert
Während sich führende Ölproduzenten berieten, um auf den erwarteten Einbruch des Rohölpreises vorbereitet zu sein, nutzten Unbekannte deren Leichtgläubigkeit aus. Spionage-Hacker konzentrierten sich dabei vornehmlich auf in den USA ansässige Energieunternehmen. Das Ziel war das Einschleusen eines Trojaners, der Kommunikationen und Daten ausspioniert. Denn der Trojaner ermöglicht es, Anmeldeinformationen für eine Vielzahl installierter Anwendungen zu sammeln.
Täter gewannen Vertrauen durch Kompetenz
Bitdefender berichtet, dass die Phishing-E-Mails größtenteils frei von Tippfehlern und Grammatikfehlern waren. Der Absender gab in der ersten von zwei Operationen vor, mit dem Geschäft der Energieproduktion vertraut zu sein. Eine Flut von E-Mails kam angeblich von der Firma Engineering for Petroleum and Process Industries. Hierbei handelt es sich sogar um eine real existierende staatliche ägyptische Ölgesellschaft.
Des Weiteren forderte der Absender den Empfänger auf, ein Angebot für Ausrüstung und Materialien als Teil eines wirklich laufenden Projekts (Rosetta Sharing Facilities Project) abzugeben. Die E-Mail wurde binnen einer Woche an etwa 150 Öl- und Gasunternehmen versandt. Sie enthielt im Anhang zwei Dateien, die sich als Ausschreibungsbedingungen, Formulare und Aufforderung zur Angebotsabgabe maskierten. „Jemandem in der Öl- und Gasindustrie, der über Wissen über diese Projekte verfügt, könnten die E-Mail und die darin enthaltenen Informationen überzeugend genug erscheinen, um die Anhänge zu öffnen“, schrieben die Forscher der Sicherheitsfirma in ihrem Beitrag über Agent Tesla.
Von Öltankern und Hafenauszahlungskonten
Die am meisten anvisierten Unternehmen befanden sich in Malaysia, den Vereinigten Staaten, Iran, Südafrika und Oman. Eine zweite Kampagne begann am 12. April. In einer E-Mail wurden die Empfänger aufgefordert, ein Dokument mit der Bezeichnung Estimated Port Disbursement Account (zu Deutsch: „Geschätztes Hafenauszahlungskonto“) auszufüllen. Die Täter behaupteten außerdem, dass dies für den Chemikalien- und Öltanker namens MT Sinar Maluku benötigt werde. Es handelt sich dabei um ein unter indonesischer Flagge registriertes Schiff, das seinen Hafen am 12. April tatsächlich verlassen hatte.
Die Kampagnen von Agent Tesla sind wahrscheinlich ein Versuch, streng gehütete Informationen über die laufenden Verhandlungen zwischen Russland, Saudi-Arabien und anderen Ölproduzenten zu erhalten. Bitdefender habe im vergangenen Jahr eine Reihe von ähnlichen Cyberangriffen auf Energieunternehmen verfolgt. Seit September sei die Zahl jeden Monat gestiegen und erreichte im Februar mit mehr als 5.000 einen Höhepunkt. Wer aber hinter der neuesten Operation steckt, geht aus dem Bericht der Sicherheitsforscher nicht hervor.
Tarnkappe.info