Die Umfragen dieser Aerobic-Lehrerin solltest du besser nicht beantworten

Von Dirk Jacquemien

31.7.2021

Nicht jede Aerobic-Instruktorin will nur das Beste für dich. (Symbolbild)
Bild: Getty Images

Der iranische Geheimdienst hat sich als Aerobic-Lehrerin aus Liverpool getarnt, um Angestellte von Rüstungsunternehmen auszuspionieren.

Von Dirk Jacquemien

31.7.2021

Marcella Flores sieht sehr zufrieden mit sich aus auf ihren Facebook-Profilfoto. Als Aerobic-Lehrerin am Harbour Health Club im englischen Liverpool lebt sie ein scheinbar ausgeglichenes Leben. Und als lebensfrohe Frau vernetzt sie sich auf Facebook mit vielen anderen Menschen.

Doch erstaunlich viele von Marcellas Facebook-Freund*innen scheinen bei Rüstungsunternehmen zu arbeiten. Und so wird auch klar, dass «Marcella Flores» nicht echt ist. Wie die Sicherheitsfirma «Proofpoint» herausfand, war das Facebook-Profil Kernstück einer Spionagekampagne.

Iranische Revolutionsgarde ist verantwortlich

Hinter «Marcella» steckte die Hacker-Gruppe TA456, auch als Tortoiseshell bekannt. Sie wird mit der iranischen Revolutionsgarde in Verbindung gebracht, die schon für zahlreiche Cyberangriffe verantwortlich gemacht wird.

Und die Garde hat offenbar einen langen Atem. Das Facebook-Profil von «Marcella» war seit 2018 aktiv, spätestens seit November 2020 war es in direktem Kontakt mit Angestellten von Rüstungsunternehmen. Mit persönlichen Nachrichten und dem Versand von Fotos sollte ein Rapport mit den Zielpersonen aufgebaut werden.

Dieses Vorgehen nennt sich Social Engineering und wird von Cyberkriminellen oder Geheimdiensten für gezielte Angriffe auf besonders wertvolle Opfer genutzt. Es ist im Grunde nur die digitale Variante der Methoden, die Geheimdienste in der analogen Welt seit Jahrhunderten einsetzen.

Das Facebook-Profil von «Marcella».
Das Facebook-Profil von «Marcella».
Proofpoint

Ernährungsumfrage enthielt Malware

Das ultimative Ziel von «Marcella» schien zu sein, Malware auf den Rechnern ihrer Opfer unterzubringen. Die Methode dazu passte perfekt zur «Marcella»-Persönlichkeit und dürfte den Opfern nicht unbedingt verdächtig vorgekommen sein.

Denn «Marcella» bat ihre Kontakte, zu denen sie seit Monaten Vertrauen aufgebaut hatte, einfach darum, an einer Umfrage zu Ernährung und Fitness während der Pandemie teilzunehmen. Diese Umfrage wurde in Form einer Excel-Datei an die Opfer verschickt.

Und natürlich war in der Excel-Datei ein Makrovirus versteckt. Der Virus spionierte die Sicherheitsmassnahmen des infizierten PCs aus und schickte das Gelernte zurück an die Garde. Mit diesen Informationen wären dann weitere Attacken, etwa eine Trojaner-Infektion, möglich.

«Marcella» und noch Dutzende andere Social Media-Profile mit demselben Ziel wurden Mitte Juli von Facebook entdeckt und gelöscht. Die Opfer seien alle bereits informiert worden.