Nach Darstellung des FBI laufen die Angriffe so ab: SRG-Akteure rufen Beschäftigte direkt an oder verschicken Phishing-Mails, die sie zu einem Rückruf bei einem vermeintlichen IT-Support drängen. Im Gespräch fordern die Angreifer die Mitarbeiter auf, ihnen über eine Remote-Desktop-Sitzung Zugriff auf ihre Rechner zu gewähren.
Scheitert dieser Versuch, schickt die Gruppe eine Person, die sich als IT-Support ausgibt, persönlich an den Standort des Opfers. Diese steckt dann ein Gerät in den Computer. „Bei diesem Vorgehen erklärt der Angreifer dem Opfer, man müsse das Gerät spiegeln oder eine Sicherungsdatei anlegen, um mögliche Folgen der Phishing-Mail zu beheben", erläutert das FBI.
Sobald die Angreifer Zugriff auf den Rechner haben, weiten sie ihre Rechte aus und beginnen sofort mit dem Abzug der Daten – ohne dateiverschlüsselnde Ransomware einzusetzen. Für die Datenexfiltration nutzt SRG WinSCP (Windows Secure Copy) oder eine Variante von Rclone. In manchen Fällen kopieren sie die Daten auch auf interne Dateifreigaben sowie auf Google Drive und Microsoft OneDrive.
„Indem die SRG-Akteure jemanden persönlich an den Standort des Opfers schicken, um den Einbruch zu ermöglichen, exfiltrieren sie Daten auf eine externe Festplatte oder einen USB-Stick, den der Angreifer in den Computer des Opfers steckt", hält das FBI fest.
Anschließend erpresst die Gruppe ihre Opfer und droht, die gestohlenen Daten zu verkaufen oder online zu veröffentlichen. Um den Druck zu erhöhen, kontaktiert sie zudem die Beschäftigten und Kunden der betroffenen Organisationen.
Laut FBI hinterlassen die jüngsten SRG-Kampagnen nur wenige Spuren auf den kompromittierten Maschinen. Auch herkömmliche Antivirenprodukte schlagen kaum an, weil SRG in der Regel legitime System- oder Fernzugriffswerkzeuge für die Angriffe einsetzt.
Zur Abwehr empfiehlt das FBI unter anderem, die Identität aller Personen mit Zugang zu Unternehmensressourcen zu überprüfen, den Zugriff auf sensible Daten zu begrenzen, Beschäftigte im Erkennen von Phishing zu schulen und klare Regeln für die Kommunikation und Authentifizierung mit dem IT-Support festzulegen. Hilfreich seien außerdem Datensicherungen, phishing-resistente Mehr-Faktor-Authentifizierung (MFA), das Sperren häufig ausgenutzter Ports sowie das Deaktivieren von Fernzugriffen und der Berechtigung, externe Laufwerke zu installieren.
