Thought Leadership
Der Cybersicherheitsanbieter SentinelOne identifizierte rund 360 fingierte Bewerberprofile und über 1.000 manipulierte Bewerbungen, besonders für sensible Positionen im Intelligence-Team.
„Sicherheitsanbieter sitzen an einer interessanten Schnittstelle von Zugang, Verantwortung und Angreiferfeindseligkeit, die uns zu Hauptzielen für verschiedene Bedrohungsakteure macht, und der Einsatz könnte nicht höher sein. Wenn Gegner ein Sicherheitsunternehmen kompromittieren, verletzen sie nicht nur eine einzelne Umgebung – sie gewinnen potenziell Einblick darin, wie Tausende von Umgebungen und Millionen von Endpunkten geschützt sind“, erklärt SentinelOne in seinem Bericht.
Das Unternehmen betont die besondere Hartnäckigkeit dieser Bedrohung: „Eine der umfangreichsten und beharrlichsten Angreiferkampagnen, die wir in den letzten Jahren verfolgt haben, umfasst weitverbreitete Kampagnen von nordkoreanischen IT-Arbeitern, die versuchen, Fernarbeit in westlichen Technologieunternehmen zu sichern – einschließlich SentinelOne.“ Diese Angriffsvektoren übertreffen laut SentinelOne alle anderen beobachteten Insider-Bedrohungen bei weitem. „Diese Akteure bewerben sich nicht blindlings – sie verfeinern ihren Prozess, nutzen gestohlene oder erfundene Personas und passen ihre Kontakttaktiken an, um legitime Arbeitssuchende auf immer überzeugendere Weise zu spiegeln.“
Sehr auffällig war laut SentinelOne eine Welle von Bewerbungen, hinter denen mutmaßlich nordkoreanische Akteure steckten. Diese Masche nutzt gefälschte Identitäten, um Zugang zu westlichen Unternehmen zu erlangen – einerseits, um Devisen für das Regime zu beschaffen, andererseits, um an sensible Informationen zu gelangen.
Die Experten identifizierten mehrere hundert verdächtige Bewerbungen, die auf verschiedene Positionen der Cybersecurity-Firma abzielten, darunter auch sensible Bereiche wie die Intelligence-Abteilung. SentinelOne nutzte die Bewerbungsgespräche gezielt zur Informationsgewinnung über die Taktiken dieser Akteure.
Statt passiv zu bleiben, entschied sich SentinelOne für einen proaktiven Ansatz: „In Abstimmung mit unseren Talentakquisitionsteams entwickelten wir Workflows, um verdächtige nordkoreanische Bewerber in den frühen Phasen ihrer Kontaktaufnahme zu identifizieren und mit ihnen zu interagieren.“ Dies ermöglichte dem Unternehmen, wertvolle Erkenntnisse über die Taktiken dieser staatlich unterstützten Akteure zu sammeln und gleichzeitig ihre Systeme zu schützen.
Jagd nach Security-Produkten
Ein weiteres Phänomen, das SentinelOne beobachtete, ist das wachsende Interesse von Cyberkriminellen an den Sicherheitsprodukten selbst. Anders als bei klassischen Angriffen geht es dabei nicht primär darum, das Unternehmen zu kompromittieren, sondern Zugriff auf dessen Sicherheitstools zu erlangen.
Solche Zugänge werden auf dem Schwarzmarkt zu hohen Preisen gehandelt oder durch Insider beschafft, denen teilweise fünfstellige Summen geboten werden. Mit diesen Zugängen können Angreifer ihre Malware gegen die Erkennungsmechanismen testen oder diese sogar deaktivieren.
Operation „PurpleHaze“
Aufmerksamkeit widmet der Bericht auch einer komplexen Angriffskampagne mit Verbindungen zu chinesischen APT-Gruppen, die SentinelOne unter dem Namen „PurpleHaze“ verfolgt. Diese Kampagne nutzte einen Lieferanten für Hardware-Logistik als Sprungbrett, um Aufklärung gegen die Infrastruktur von SentinelOne und dessen Kunden zu betreiben.
Obwohl keine erfolgreiche Kompromittierung der eigenen Systeme festgestellt wurde, unterstreicht der Vorfall die Problematik von Lieferketten-Angriffen, bei denen Angreifer zunächst schwächere Glieder in der Kette ausnutzen, um letztendlich an ihre eigentlichen Ziele zu gelangen.
„In jeder Funktion – ob Personalwesen, Vertrieb, Technik oder Sicherheit – ist Cyber-Bedrohungsintelligenz keine Hinterzimmerfunktion mehr. Sie ist in die Struktur eingebettet, wie wir als Unternehmen verteidigen, arbeiten und wachsen“, fasst SentinelOne die Lehren aus dem Bericht zusammen.
