Nach dem erfolgreichen Zugriff installierten die Angreifer sechs verschiedene Fernzugriffswerkzeuge, darunter vier Instanzen von ScreenConnect. Die Forscher gehen davon aus, dass es sich dabei um den Versuch handelte, die Kontrolle über das System auch dann zu behalten, wenn einzelne dieser Werkzeuge entfernt würden.

Das zuletzt heruntergeladene ScreenConnect-Tool hielt eine Überraschung bereit: Ein Skript fragte automatisch einen externen Dienst zur Zertifikatssignierung ab. Dadurch konnten alle installierten Komponenten mit einem Zertifikat signiert werden, das Windows als vertrauenswürdig einstufte.

„Das war eine neue Fähigkeit, auf die wir glücklicherweise gestoßen sind", sagte Villadsen. Er hält dieses „Signieren als Dienstleistung" für eine Anpassung an jüngste Sicherheitsmaßnahmen von ScreenConnect, bei denen bestehende Zertifikate widerrufen und neue Software-Instanzen zur Signierung eines Installers verpflichtet wurden – ein Schritt, der nach seinen Worten „das gesamte Ökosystem der Fernwartung (RMM) erheblich gestört hat".

„Statt dass jeder versucht, sein eigenes Zertifikat zu erstellen, gibt es nun diesen kleinen, geheimen Signierdienst", erklärte er. Nicht nur der Microsoft-Installer (MSI) sei signiert worden, das Skript habe zudem alle Komponentendateien ersetzt und neu signiert. „Das Ganze war ziemlich gut durchdacht."

Auffällig war für Villadsen außerdem, dass die Angreifer nicht nur auf den Diebstahl von Fracht abzielten, sondern auf eine „breitere finanzielle Ausrichtung und Bereicherung". Sie suchten nach Kryptowährungs-Wallets und prüften manuell auf PayPal-Zugangsdaten. Ein PowerShell-Skript auf dem infizierten Gerät durchsuchte das System nach Zugängen zu Finanzinstituten, Geldtransferdiensten und Online-Buchhaltungsplattformen. Es fahndete ebenso nach Plattformen für Frachtmanagement und -vermittlung sowie nach Anbietern von Tankkarten.

„Sie kennen die Transportbranche ganz genau und wissen, wie man diesen speziellen Bereich angreift", sagte er. „Aber sie sind eben auch Cyberkriminelle und suchen nach jeder Möglichkeit, eine Arbeitsstation, auf der sie gelandet sind, zu Geld zu machen."

Zwar gehört diese Gruppe zu den aktivsten, wenn es darum geht, Load-Boards zu unterwandern und Schadsoftware auszuliefern, doch sie ist nur eine von vielen. Nach Angaben von Villadsen verfolgen er und sein Team rund ein Dutzend verschiedener Gruppen, die den Sektor in Nordamerika und Europa ins Visier nehmen.

Da die überwiegende Mehrheit der Frachtführer kleine Unternehmen mit weniger als zehn Lastwagen sind, verfügen sie oft nicht über robuste Sicherheitsvorkehrungen. Über die Load-Boards können Angreifer Dutzende oder sogar Hunderte Frachtführer gleichzeitig infiltrieren. „Es ist eine Branche, die sich für Cyber-Einbrüche leider gut anbietet und in der sich der Diebstahl sehr gut ausweiten lässt", so Villadsen.