Frachtdiebstahl per RMM

Die Transport- und Logistikbranche kämpft mit einer zunehmenden Zahl von Cyberangriffen, mit denen Transporte und Waren umgeleitet und gestohlen werden. Besonders gerne nutzen die offenbar branchenkundigen Täter dafür Fernwartungs- und Fernzugriffstools, die sie geschickt in kompromittierten E-Mails verstecken.

Cyberkriminelle kapern über RMM-Tools Daten und Accounts von Logistikfirmen und nutzen diese, um komplette Transporte mit echten Waren zu entwenden (Foto: Proofpoint)

Der Diebstahl physischer Waren über digitale Wege ist nicht nur im Umfeld von Onlineportalen und -Marktplätzen für Privatkunden ein ernstzunehmendes Problem. Auch die Logistikbranche hat zunehmend mit solchen digitalen Raubzügen zu kämpfen, bei denen über mehrstufige Angriffsketten meist komplette Warenladungen gestohlen werden und somit ein entsprechend hoher Sach- und Reputationsschaden entsteht. Wie solche Attacken im Einzelnen funktionieren, welche Angriffswege und -Tools die Hintermänner nutzen und welche persistenten digitalen Gefahren dabei über den Warenverlust hinaus entstehen können, zeigt eine derzeit laufende Angriffswelle, die eingehend von den Experten des Security-Anbieters Proofpoint analysiert und beschrieben wurde.

Verstecktes RMM-Tool im Frachtbrief

So funktioniert die Betrugsmasche (Foto: Proofpoint)

Als Ausgangspunkt dienen den Angreifern meist kompromittierte oder gefälschte Accounts auf digitalen Frachtbörsen, mit denen sie vermeintliche Frachtangebote einstellen. Reagiert ein Transportunternehmen darauf, erhält es entsprechend angepasste E-Mails mit Links zu angeblichen Vertrags- oder Frachtinformationen. Das dies eine nicht unübliche Praxis in der Branche ist, sind die Erfolgsaussichten damit ein Opfer zu finden, gut. Hinter den Links verbergen sich Downloads ausführbarer Dateien oder Installationspakete für bekannte Fernwartungs- und Fernzugriffstools (Remote Monitoring and Management, RMM) ScreenConnect, SimpleHelp oder PDQ Connect. Da solche Lösungen in vielen der Opfer-Unternehmen auch von der IT-Abteilung oder Dienstleistern für legitime RMM-Aufgaben eingesetzt werden, sind die Nutzer oft weniger vorsichtig. Zugleich werden damit auch die gängigen digitalen Sicherheitslösungen umgangen, da sie die Kommunikation mit den RMM-Servern als gutartig und sicher einstufen.

Wird die Software installiert, haben die Angreifer damit also weitreichende Einblicke und Zugriff auf die Systeme der Opfer und meist auch der mit ihnen verbundenen internen Netzwerke des Transportunternehmens. Dort sammeln die Kriminellen Zugangsdaten und Informationen wie Frachtdaten ein und suchen gezielt nach weiteren Möglichkeiten, ihre Kontrolle auszubauen, indem sie etwa Sicherheitslücken ausfindig machen oder Schadsoftware nachladen. Hauptziel ist es jedoch, mit den entwendeten Informationen echte Frachten zu identifizieren, deren Diebstahl lohnend erscheint und mit dem kompromittierten Account darauf zu bieten. Da auch die Abholung der Fracht vermeintlich im Namen des Opfer-Unternehmens erfolgt, sind die Spuren der Angreifer im Nachgang nur schwer nachzuvollziehen.

Bei Antwort Angriff

Um die Opfer und ihre IT-Abwehr in Sicherheit zu wiegen, nutzen die Angreifer für ihre hybriden Raubzüge bekannte RMM-Tools (Foto: Proofpoint)

Nach eigenen Angaben konnte Proofpoint seit August bereits fast 25 solcher Kampagnen identifizieren, mit stark unterschiedlichem Umfang. Während einige nur wenige Nachrichten versendeten, waren es bei anderen Kampagnen tausende. Zugleich stellten die Sicherheitsfachleute auch Varianten der Angriffswege fest. So nutzen einige Angreifer etwa auch das sogenannte E-Mail-Thread-Hijacking, bei dem reale E-Mail-Konversationen übernommen und mit schädlichen Links versehen werden. In anderen Fällen wiederum setzen sie neben oder statt der Manipulation von Frachtbörsen auf breit angelegte Direktkampagnen, die sich gezielt an große Speditionen, Broker oder integrierte Supply-Chain-Anbieter richten. Grundsätzlich handeln die Täter jedoch meist opportunistisch und nutzen jede Antwort eines Logistikunternehmens auf ihr gefälschtes Angebot für einen Angriffsversuch.

Da die Cyberkriminellen offenbar über weitreichende Kenntnisse über die organisatorischen und technischen Abläufe und Gepflogenheiten in der Branche sowie deren Schwachstellen verfügen und die Attacken zugleich gut verstecken, sind die nur schwer aufzuspüren. Proofpoint empfiehlt Unternehmen daher, ihre Sicherheitsstrategien anzupassen und dabei die physikalische und digitale Sicherheit aufeinander abzustimmen. Zudem sollte die Aufmerksamkeit der Mitarbeiter durch Awareness-Trainings für das Missbrauchspotenzial von RMM-Tools für derartige Angriffe geschärft werden.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden