Digital Life
17.01.2019

Fake-Job-Interview gab Hackern Zugang zu Bankomat-Netzwerk

Ein Mitarbeiter soll auf einen Trick von nordkoreanischen Hackern hereingefallen sein.

Die chilenische IT-Website trendTIC berichtet von einem bizarren Sicherheitsvorfall. In Zentrum der Angelegenheit steht ein Mitarbeiter von Redbanc. Dieses Unternehmen verwaltet das Bankomaten-Netzwerk von Chile.

Der Mitarbeiter hat auf LinkedIn eine Stellenausschreibung als Entwickler gefunden und sich dafür beworben. Im Zuge eines Skype-Bewerbungsgespräch, das auf Spanisch geführt wurde, sollte er ein Programm namens ApplicationPDF.exe herunterladen und installieren. Sehr qualifiziert scheint der potenzielle Entwickler wohl nicht zu sein, da er tatsächlich die EXE-Datei ausführte. Vielleicht hatte er auch einfach nur zuviel Vertrauen in den vermeintlich zukünftigen Arbeitgeber der ihm versprach, dass die Datei lediglich ein Standard-Bewerbungsformular generiere.

Natürlich tat es das nicht. Es war Malware, die Daten über den Arbeitsrechner des Mitarbeiters abgriff. Dazu zählte der Username, Hardware- und Software-Informationen und die Proxy-Einstellungen. Diese Daten wurden genutzt, um später eine zweite Ladung an Malware unbemerkt einzuschleusen. Damit bekamen die Hacker Zugang zum Bankomaten-Netzwerk von Chile.

Zwischenfall verschwiegen

Das Ganze ereignete sich im Dezember, wurde aber von Redbanc verheimlicht. Der Zwischenfall kam erst jetzt ans Licht, weil ein chilenischer Politiker das Schweigen von Redbanc öffentlich auf Twitter kritisierte. Danach hat Redbanc den Vorfall auf seiner Website zugegeben, aber keine Information preisgegeben, welcher Schaden entstanden ist.

Laut der IT-Security-Firma Flashpoint führt die Spur der Hacker nach Nordkorea. Die genutzte Malware soll PowerRatankba gewesen sein. Dieses Toolkit wird von der Lazarus Group verwendet, die staatliche Hackergruppe Nordkoreas. Neben dem Sony-Hack von 2014 soll die Gruppe auch für etliche Angriffe auf Finanzinstitute und die Malware WannaCry 2.0 verantwortlich sein. Analysen zufolge soll Lazarus zudem seit Jänner 2017 Kryptowährungen im Wert von über 500 Millionen US-Dollar erbeutet haben.