Illustration: Absmeier, Hsvbooth

DeadRinger-Untersuchung dokumentiert Angriffstrends, bei denen externe Service-Provider benutzt werden, um vielfältige Ziele zu erreichen.

Cybereason ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren. Ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya kompromittierten die Angreifer externe Service-Anbieter – in diesem Fall Telekommunikationsunternehmen – mit dem übergreifenden Ziel, deren Kundenbasis auszuspionieren.

Der Bericht folgt zeitlich und inhaltlich auf die öffentliche Rüge der Biden-Administration an die Adresse des chinesischen Ministeriums für Staatssicherheit hinsichtlich der jüngsten HAFNIUM-Vorfälle.

Dabei wurden Schwachstellen in nicht gepatchten Microsoft-Exchange-Servern ausgenutzt und Tausende von Unternehmen weltweit gefährdet. Eben diese Schwachstellen auszunutzen war auch für die in dieser Studie beschriebenen Angriffe der Schlüssel zum Erfolg.

Der Report, betitelt DeadRinger:Exposing Chinese Threat Actors Targeting Major Telcos, identifiziert unterschiedliche Cluster von Angriffsaktivitäten, die seit mindestens 2017 nicht entdeckt wurden. Sie sind höchstwahrscheinlich das Werk mehrerer prominenter Advanced Persistent Threat (APT)-Gruppen, die eng mit den Interessen der chinesischen Regierung verbunden sind. Cybereason konnte bei allen drei Operationen signifikante Überschneidungen bei Taktik, Technik und Prozedere (TTPs) beobachten. Das Unternehmen vermutet, dass die Angreifer ihre Ziele wahrscheinlich parallel unter der Leitung einer zentralen Koordinierungsstelle und im Einklang mit den Interessen des chinesischen Staates verfolgen.

»Die Angriffe sind ausgesprochen besorgniserregend, denn sie untergraben die Sicherheit von Anbietern kritischer Infrastrukturen. Ins Visier geraten dabei vertrauliche und geschützte Informationen sowohl öffentlicher wie privater Unternehmen, die für ihre Geschäftstätigkeit auf eine geschützte Kommunikation angewiesen sind. Solcherart staatlich geförderte Spionageoperationen wirken sich nicht nur negativ auf Kunden und Geschäftspartner der betreffenden Telekommunikationsunternehmen aus. Sie haben zusätzlich das Potenzial, die nationale Sicherheit der Länder in der Region zu gefährden sowie derjenigen, die ein berechtigtes Interesse an Stabilität innerhalb der Region haben«, so Lior Div, CEO und Mitgründer von Cybereason. »Genau aus diesem Grund beschäftigt sich bei Cybereason ein globales Team erfahrener Threat-Intelligence-Ermittler mit den Taktiken, Techniken und Vorgehensweisen hochkarätiger Gegenspieler – mit dem Ziel, Unternehmen jetzt und in Zukunft besser vor dieser Art von komplexen Angriffen zu schützen.«

Zu den wichtigsten Ergebnissen zählen:

Adaptiv, persistent und evasiv: Die Angreifer sind besonders anpassungsfähig und haben ihre Aktivitäten sorgfältig verschleiert, um die Persistenz auf den infizierten Systemen zu gewährleisten. Das erlaubt es ihnen ganz offensichtlich, dynamisch auf Gegenmaßnahmen zu reagieren, nachdem es ihnen gelungen ist Sicherheitsmaßnahmen seit mindestens dem Jahr 2017 zu umgehen. Im Übrigen auch ein Hinweis darauf, dass die Ziele für die Angreifer von großem Wert sind.
Kompromittierung von Dritten, um bestimmte Ziele zu erreichen: Ganz ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya haben die Angreifer externe Dritte kompromittiert – in diesem Fall Telekommunikationsunternehmen – mit der Absicht, bestimmte hochrangige Kunden der betroffenen Telekommunikationsunternehmen auszuspionieren.
Microsoft-Exchange-Schwachstellen ausgenutzt: Vergleichbar den HAFNIUM-Angriffen haben die Angreifer die jüngst bekannt gewordenen Schwachstellen in Microsoft-Exchange-Servern ausgenutzt, um sich Zugang zu den anvisierten Netzwerken zu verschaffen. Anschließend wurden kritische Assets kompromittiert wie Domain Controller (DC) und Abrechnungssysteme, die hochsensible Informationen wie Call Detail Record (CDR)-Daten enthalten. Die Angreifer können so auf die sensible Kommunikation sämtlicher Nutzer der betroffenen Telekommunikationsdienste zugreifen.
Hochrangige Spionageziele: Basierend auf den früheren Ergebnissen des Operation Soft Cell Report, im Jahr 2019 von Cybereason veröffentlicht, sowie weiteren veröffentlichten Analysen zurückliegender Operationen dieser Angreifergruppen, kann man davon ausgehen, dass die Telekommunikationssysteme kompromittiert wurden, um ausgewählte Ziele auszuspionieren.
Dazu zählen Unternehmen, Persönlichkeiten des politischen Lebens, Regierungsbeamte, Strafverfolgungsbehörden, aber auch politische Aktivisten und Dissidentengruppen, die für die chinesische Regierung von Interesse sind.
Operation im chinesischen Interesse: Drei verschiedene Angriffscluster haben eine jeweils andere Verbindung zu den APT-Gruppen Soft Cell, Naikon und Group-3390 – alle bekannt dafür, im Interesse der chinesischen Regierung aktiv zu sein. Signifikante Überschneidungen bei den TTPs der Angreifer in den verschiedenen Clustern legen eine Verbindung zwischen den Akteuren nahe. Dieser Befund stützt die These, dass jede Gruppe parallele Ziele bei der Überwachung der Kommunikation spezifischer hochrangiger Ziele verfolgt. Und, dass die Operationen unter der Leitung einer zentralen Koordinierungsstelle stehen, die im Einklang mit den Interessen des chinesischen Staates agiert.
Potenzial für weitreichende Auswirkungen: Diese Angriffe betreffen hauptsächlich Telekommunikationsunternehmen in ASEAN-Ländern, lassen sich aber gegen Telkos in anderen Regionen replizieren. Vorrangig dienen die Operationen Spionagezwecken – so jedenfalls die Einschätzung der Analysten von Cybereason. Allerdings wäre es durchaus möglich, die Zielsetzung zu ändern und den Fokus auf die Störung der Kommunikation zu legen. Dann hätten die Angreifer die Option, die Kommunikation sämtlicher Kunden der betroffenen Telekommunikationsunternehmen zu beeinträchtigen

Den vollständigen Bericht finden Sie hier: https://www.cybereason.com/blog/deadringer-exposing-chinese-threat-actors-targeting-major-telcos

113 Artikel zu „Cyberspionage“

NEWS | TRENDS SECURITY | BUSINESS | DIGITALE TRANSFORMATION | TRENDS SERVICES | TRENDS 2018 | IT-SECURITY

Digitale Transformation: Cyberkriminalität und Cyberspionage sind die größten Herausforderungen

2. Januar 2018

Investitionen in Produktivität, Betriebskosten und die Verbesserung der digitalen Präsenz schaffen neue Wachstumsmöglichkeiten. In einer aktuellen Frost & Sullivan-Studie [1], die die Branchenanwender-Perspektive in Hinblick auf den Umgang mit der digitalen Transformation untersucht, gaben 54 Prozent der IT-Experten an, dass Cyberkriminalität und -spionage zu den größten Herausforderungen gehören, dicht gefolgt von der Systemintegration. Andere erwähnenswerte…