Thought Leadership
Ein globaler Börsenkonzern wurde Ziel einer Spionageoperation. Hacker hatten fünf Monate unbemerkt Zugriff auf das E-Mail-Konto eines Top-Managers.
Unbekannte Cyberkriminelle haben das E-Mail-Konto einer hochrangigen Führungskraft an einer großen globalen Börse infiltriert und über Monate hinweg Daten ausgeleitet. Der Vorfall wurde von dem gemeinsamen Bedrohungsanalyse-Team von Symantec und Carbon Black, zwei Tochtergesellschaften des Broadcom-Konzerns, untersucht. Den Ermittlungen zufolge begann der Angriff im Oktober 2025. Der Akteur behielt den Zugriff auf das kompromittierte Outlook-Postfach bis zum März 2026 bei.
Die Sicherheitsexperten schätzen die Verweilzeit der Angreifer im System auf rund 150 Tage. Das primäre Ziel der Operation war nach Einschätzung der Analysten Spionage. Genaue Details darüber, welche spezifische Börse angegriffen wurde oder welche Gruppe hinter dem Vorfall steht, wurden in dem Untersuchungsbericht nicht veröffentlicht, da die genutzten Werkzeuge keine eindeutige Zuordnung erlauben.
„Für einen Spionageakteur ist das Postfach einer Führungskraft ein hochwertiges Aufklärungsziel. Ein Outlook-Profil kann Details zu externen Verhandlungen, internen Beratungen, dem Kalender der Führungskraft, Reisemustern und deren Kontakten enthalten. Organisationen wie Börsen und Regulierungsbehörden können nicht-öffentliche Informationen über Börsennotierungen, Vollstreckungsmaßnahmen und marktbewegende Ereignisse besitzen. Monatelanger ungehinderter Zugriff auf dieses Postfach ermöglicht es einem Angreifer, ein nahezu vollständiges Bild des Arbeitslebens der Zielperson und der kurzfristigen Ausrichtung der Organisation zu erstellen, ohne sich jemals lateral an eine andere Stelle im Netzwerk bewegen zu müssen.“
IT-Forensiker von Symantec und Carbon Black
Unauffällige Datenableitung über legitime Cloud-Dienste
Der genaue Vektor für den Erstzugriff auf das System ist Gegenstand laufender Ermittlungen. Erste Anzeichen für schädliche Aktivitäten auf dem betroffenen Host-Rechner wurden am 10. Oktober 2025 registriert. Zu diesem Zeitpunkt lief bereits eine Schadsoftware auf dem System, die sich als legitime Anwendungen von Adobe und OneDrive tarnte. Die eigentlichen Befehls- und Kontrollkanäle (C&C) wurden am 12. November 2025 etabliert. Ab diesem Tag begannen die Angreifer mit der systematischen Sammlung und dem Abfluss von Daten.
Um Entdeckungsmechanismen von Sicherheitssoftware zu umgehen, nutzten die Täter etablierte Consumer-Cloud-Dienste wie Dropbox und OneDrive für den Datenexport. Sie transferierten die Informationen ausschließlich in sehr kleinen Datenpaketen. Die Ermittler erklärten die Taktik wie folgt: „Der kumulative Effekt über die fünf beobachteten Monate ist ein vollständiger, nahezu kontinuierlicher Diebstahl des Outlook-Postfachs des Benutzers, aufgeteilt in schrittweise Archive, die klein genug sind, um keine Aufmerksamkeit von Sicherheitssoftware zu erregen.“
Aufrechterhaltung des Zugriffs durch gefälschte Systemdienste
Neben der Datenexfiltration konzentrierten sich die Angreifer auf die dauerhafte Sicherung ihrer Präsenz im kompromittierten Netzwerk. Sie registrierten in regelmäßigen Abständen automatisierte Systemaufgaben neu. Diese Aufgaben waren als harmlose Systemdienste von Adobe, Lenovo und OneDrive getarnt, um bei routinemäßigen Überprüfungen durch Administratoren nicht aufzufallen.
Die letzte dokumentierte Aktivität auf dem Rechner erfolgte am 19. März 2026, als die Angreifer neue Hintertüren installierten. Danach brach der Datenstrom ab, weshalb die Analysten davon ausgehen, dass die Betreiber den Zugriff auf das Gerät zu diesem Zeitpunkt verloren haben. Um andere Unternehmen und Finanzinstitutionen vor ähnlichen Angriffsmustern zu schützen, haben Symantec und Carbon Black die technischen Indikatoren für eine Kompromittierung (IoCs) öffentlich zugänglich gemacht.
(red)
