Die Bedrohung durch von Nationalstaaten unterstützte Hacking-Gruppen wurde in letzter Zeit gut erforscht und dokumentiert, aber es gibt eine andere, ebenso gefährliche Gruppe von Gegnern, die seit Jahren vergleichsweise im Schatten agiert.

Dies sind Hack-for-Hire-Gruppen, die sich darauf spezialisiert haben, in Systeme einzubrechen und E-Mails und andere Daten als Dienstleistung zu stehlen. Ihre Kunden können private Ermittler, Anwaltskanzleien, Geschäftskonkurrenten und andere sein, die nicht über die Fähigkeiten verfügen, diese Angriffe selbst durchzuführen. Solche Cyber-Söldner werben oft offen für ihre Dienste und zielen auf jede Einheit, die für ihre Kunden von Interesse ist, im Gegensatz zu staatlich unterstützten APT-Akteuren (Advanced Persistent Threat), die dazu neigen, sich zu verstecken und spezifische Missionen und einen engen Fokus auf das Ziel zu haben.

Forscher der Threat Analysis Group (TAG) von Google haben diese Woche einen Bericht über die Bedrohung veröffentlicht Hack-for-Hire-Ökosysteme in Indien, Russland und den Vereinigten Arabischen Emiraten als Beispiele für die fruchtbare Natur der kriminellen Aktivitäten. Die TAG-Forscher identifizierten die von Cyber-Söldnern angebotenen Dienste als anders als die von Überwachungsanbietern angebotenen Dienste, die Tools und Fähigkeiten für andere – wie Geheimdienste und Strafverfolgungsbehörden – verkaufen.

Breites Spektrum an Zielen

„Die Breite der Ziele in Hack-for-Hire-Kampagnen steht im Gegensatz zu vielen staatlich unterstützten Operationen, die oft eine klarere Abgrenzung von Mission und Zielen haben“, sagte Shane Huntley, Direktor von Google TAG, am Donnerstag in einem Blog.

Als Beispiel wies er auf eine kürzlich von Google beobachtete Operation hin, bei der ein indisches Hack-for-Hire-Unternehmen ein IT-Unternehmen in Zypern, ein Einkaufsunternehmen in Israel, ein Finanztechnologieunternehmen auf dem Balkan und eine akademische Einrichtung in Nigeria ins Visier nahm. In anderen Kampagnen hat Google beobachtet, dass diese Gruppen Menschenrechtsaktivisten, Journalisten und politische Aktivisten ins Visier nehmen.

„Sie führen auch Unternehmensspionage durch und verschleiern dabei die Rolle ihrer Kunden“, schrieb Huntley.

Der Bericht von Google über Hack-for-Hire-Aktivitäten fiel zeitlich mit einem ausführlichen Reuters-Untersuchungsbericht zusammen, in dem es darum ging, wie sich Parteien in Gerichtsverfahren in den letzten Jahren verhalten haben angeheuerte indische Cyber-Söldner um Informationen von der anderen Seite zu stehlen, die ihnen einen Vorteil im Kampf verschaffen würden.

Reuters sagte, es sei in der Lage gewesen, mindestens 35 Fälle zu identifizieren, die bis ins Jahr 2013 zurückreichen, als jemand, der an einer Klage beteiligt war, indische Hacker anstellte, um Informationen von dem Unternehmen zu erhalten, gegen das er prozessierte. Einer von ihnen betraf einen 1.5-Milliarden-Dollar-Rechtsstreit zwischen der nigerianischen Regierung und den Erben eines italienischen Geschäftsmanns um die Kontrolle über eine Ölgesellschaft.

In jedem dieser Fälle haben die Hacker Phishing-E-Mails mit Malware an gezielte Opfer gesendet, um Anmeldeinformationen für ihre E-Mail-Konten und andere Daten zu stehlen.

Zahlreiche Hacking-for-Hire-Opfer

Reuters sagte, es habe etwa 75 US-amerikanische und europäische Unternehmen, drei Dutzend Interessengruppen und zahlreiche Geschäftsleute in westlichen Ländern identifiziert, die das Ziel dieser Angriffe waren. Insgesamt verschickten indische Hacker in den sieben Jahren, die Gegenstand der Untersuchung waren, etwa 80,000 Phishing-E-Mails an 13,000 Ziele in mehreren Ländern.

Unter denjenigen, auf deren E-Mail-Postfächer die Angreifer zuzugreifen versuchten, befanden sich mindestens 1,000 Anwälte in 108 Anwaltskanzleien, darunter Baker McKenzie und Cooley und Cleary Gottlieb in den USA sowie Clyde & Co. und LALIVE in Europa.

Reuters beschrieb den Bericht als auf Informationen aus Opferinterviews, US-Regierungsbeamten, Anwälten und Gerichtsdokumenten aus sieben Ländern beruhend. Bei der Untersuchung half auch eine Datenbank mit Zehntausenden von E-Mails, die von den indischen Hackern gesendet wurden und die Reuters zufolge von zwei E-Mail-Anbietern erhalten hatte.

„Die Datenbank ist praktisch die Hitliste der Hacker und gibt auf die Sekunde genau Aufschluss darüber, an wen die Cyber-Söldner zwischen 2013 und 2020 Phishing-E-Mails gesendet haben“, heißt es in der Reuters-Story.

Zu den indischen Unternehmen, die Reuters in seinem Bericht nannte, gehörten Appin, BellTroX und Cyberoot – die sich alle irgendwann die Infrastruktur und das Personal teilten.

Verfolgung von Cyber-Kampagnen

Google sagte, dass es seit 2012 auch indische Hack-for-Hire-Betreiber verfolgt, von denen viele mit Appin und BellTroX verbunden waren. Ein Großteil der Aktivitäten konzentrierte sich auf Organisationen in den Bereichen Regierung, Telekommunikation und Gesundheitswesen in den Vereinigten Arabischen Emiraten. Saudi-Arabien und Bahrain laut TAG.

Der Bericht von Google beschrieb auch Hack-for-Hire-Betreiber, die TAG-Forscher in Russland und den Vereinigten Arabischen Emiraten verfolgt haben. Einer von ihnen ist ein bereits bekannter russischer Schauspieler, den andere als Void Balaur bezeichnet haben Tausende von Menschen ausspioniert und gestohlene private Informationen über sie zum Verkauf an verschiedene Kunden.

Dies ist nicht das erste Mal, dass Sicherheitsforscher vor Miethackern warnen. Trend Micro berichtete zum Beispiel über die Balaur-Bedrohung beseitigen im November 2021. Ein Jahr zuvor berichteten BlackBerry-Sicherheitsforscher über eine Hack-for-Hire-Gruppe, die sie als Aufruf beobachtet hatten Costa Rica, die auf Opfer in mehreren Ländern abzielte, viele davon in Südasien.

„Die Hack-for-Hire-Landschaft ist fließend, sowohl was die Organisation der Angreifer angeht als auch die große Auswahl an Zielen, die sie im Auftrag unterschiedlicher Kunden in einer einzigen Kampagne verfolgen“, schrieb Huntley von TAG.