Ermittler des Antivirus-Software-Unternehmen ESET haben eine Gruppe identifiziert, die seit neun Jahren vertrauliche Dokumente stiehlt – Vor allem militärische Koordinaten und Navigationsrouten sind betroffen
Mainz/Bratislava. ESET-Forscher haben eine noch laufende Cyberspionage-Kampagne gegen hochkarätige Ziele in Lateinamerika entdeckt, dies teilte das Unternehmen dem SWR vorab mit. Mehr als die Hälfte der angegriffenen Computer gehört danach den venezolanischen Streitkräften. Auch staatliche Institutionen wie Polizeidienststellen, Bildungseinrichtungen sowie das Außenministerium des Landes stünden im Fokus der Kriminellen. Rund 75 Prozent der Angriffe haben danach in Venezuela stattgefunden, weitere 16 Prozent in Ecuador, wo gezielt das Militär ins Visier genommen worden sei. Laut ESET-Forschern stecke hinter diesen Angriffen die sogenannte Machete-Gruppe. Diesen Namen sollen sich die Kriminellen selbst gegeben haben.Dahinter wird eine kriminelle spanischsprechende Organisation vermutet. Aktivitäten der Gruppe werden seit 2010 beobachtet, die sich stets in ihrer Operationstaktik den jeweiligen Verhältnissen und Sicherheitssystemen angepasst hätten. So sagt ESET-Forscher Matias Porolli: „Die Angreifer filtern spezielle Dateitypen, die von Geographi-schen Informationssystemen (GIS) verwendet werden. Die Gruppe ist besonders an Dateien interessiert, die Navigationsrouten und militärische Koordinaten enthalten“. Innerhalb von nur drei Monaten, zwischen März und Mai 2019, beobachtete ESET nach eigenen Angaben mehr als 50 infizierte Computer, die mit sog. Command & Control-Servern der Cyber-Spione kommunizieren. Die Machete-Gruppe habe hierzu sehr spezifische E-Mails direkt an ihre potentiellen Opfer gesendet. Um diese zu täuschen, hätten Machete-Betreiber echte Dokumente verschickt, die sie zuvor gestohlen hatten, zum Beispiel geheime militärische Unter-lagen. Dazu hätten auch solche gehört, die für die Kommunikation innerhalb des Militärs verwendet würden. Empfänger soll angehängte Datei öffnenDer Angriff habe nach den Recherchen mit einer selbst entpackenden Datei begonnen, die ein Lockdokument enthielt. Wurde es heruntergeladen und angeklickt, habe sich eine Hintertür geöffnet. Durch diese seien Dokumente kopiert und verschlüsselt, Screenshots gemacht und Tastaturanschläge aufgezeichnet worden. „Die Geschäftstätigkeit der Machete-Gruppe ist stärker denn je, und unsere Untersuchung hat gezeigt, dass sie sich recht schnell, manchmal innerhalb von Wochen, entwickeln kann. Verschiedene Artefakte, die wir in Machetes Code und der zugrunde liegenden Infrastruktur gesehen haben, lassen uns glauben, dass es sich um eine spanischsprachige Gruppe handelt“, erläutert Matias Porolli von ESET. Jede Woche seien Gigabytes an vertraulichen Dokumenten gestohlen worden. Der Angriff laufe nach wie vor, so ESET. (red.)