Kritische Infrastrukturen untergraben
Cybereason deckt chinesische Bedrohungsakteure auf, die Telekommunikationsanbieter für Cyberspionage kompromittieren
Ähnlich wie bei den HAFNIUM-Angriffen nutzten die Bedrohungsakteure kürzlich bekannt gewordene Schwachstellen in Microsoft Exchange-Servern aus, um sich Zugang zu den Zielnetzwerken zu verschaffen
Cybereason gab die Entdeckung mehrerer bisher nicht identifizierter Cyber-Angriffskampagnen bekannt, die große Telekommunikationsanbieter in Südostasien infiltrieren. Ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya kompromittierten die Bedrohungsakteure zunächst Drittanbieter - doch in diesem Fall wurden sie nicht dazu benutzt, Malware über einen Angriff auf die Lieferkette zu verbreiten, sondern um die vertrauliche Kommunikation ihrer Kunden zu überwachen.
Der Bericht folgt auf die öffentliche Rüge der Regierung Biden an das chinesische Ministerium für Staatssicherheit für die jüngsten HAFNIUM-Angriffe, bei denen Schwachstellen in ungepatchten Microsoft Exchange-Servern ausgenutzt wurden und Tausende von Unternehmen weltweit gefährdet waren. Die Ausnutzung eben dieser Schwachstellen war für den Erfolg der in dieser Studie beschriebenen Angriffe entscheidend.
In dem Bericht mit dem Titel DeadRinger: Exposing Chinese Threat Actors Targeting Major Telcos wurden mehrere Cluster von Angriffsaktivitäten identifiziert, die sich seit mindestens 2017 der Entdeckung entzogen haben und als das Werk mehrerer prominenter Advanced Persistent Threat (APT)-Gruppen eingeschätzt werden, die mit den Interessen der chinesischen Regierung verbunden sind. Cybereason stellte bei den drei Operationen erhebliche Überschneidungen bei den Taktiken, Techniken und Verfahren (TTPs) fest und kam zu dem Schluss, dass die Angreifer wahrscheinlich parallele Ziele unter der Leitung einer zentralisierten Koordinierungsstelle verfolgten, die mit den Interessen des chinesischen Staates im Einklang steht.
"Die Angriffe sind sehr besorgniserregend, da sie die Sicherheit von Anbietern kritischer Infrastrukturen untergraben und die vertraulichen und geschützten Informationen öffentlicher und privater Organisationen offenlegen, die für ihre Geschäfte auf sichere Kommunikation angewiesen sind. Diese staatlich geförderten Spionageoperationen wirken sich nicht nur negativ auf die Kunden und Geschäftspartner der Telekommunikationsunternehmen aus, sondern haben auch das Potenzial, die nationale Sicherheit der Länder in der Region und derjenigen zu bedrohen, die ein berechtigtes Interesse an der Stabilität der Region haben", so Lior Div, CEO und Mitbegründer von Cybereason. "Aus diesem Grund unterhält Cybereason ein globales Team erfahrener Bedrohungsermittler, deren Schwerpunkt darauf liegt, die Taktiken, Techniken und Verfahren fortschrittlicher Gegner aufzudecken, damit wir Unternehmen jetzt und in Zukunft besser vor dieser Art komplexer Angriffe schützen können."
Zu den wichtigsten Ergebnissen gehören:
Anpassungsfähig, hartnäckig und ausweichend: Die äußerst anpassungsfähigen Angreifer arbeiteten sorgfältig daran, ihre Aktivitäten zu verschleiern und auf den infizierten Systemen zu verbleiben. Sie reagierten dynamisch auf Eindämmungsversuche, nachdem sie seit mindestens 2017 die Sicherheitsmaßnahmen umgangen hatten, was ein Hinweis darauf ist, dass die Ziele für die Angreifer von großem Wert sind.
Kompromisse mit Dritten, um bestimmte Ziele zu erreichen: Ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya kompromittierten die Bedrohungsakteure zunächst Drittanbieter - doch in diesem Fall wurden sie nicht dazu benutzt, Malware über einen Angriff auf die Lieferkette zu verbreiten, sondern um die vertrauliche Kommunikation ihrer Kunden zu überwachen.
Microsoft Exchange-Schwachstellen werden ausgenutzt: Ähnlich wie bei den HAFNIUM-Angriffen nutzten die Bedrohungsakteure kürzlich bekannt gewordene Schwachstellen in Microsoft Exchange-Servern aus, um sich Zugang zu den Zielnetzwerken zu verschaffen. Anschließend kompromittierten sie kritische Netzwerkressourcen wie Domain-Controller (DC) und Abrechnungssysteme, die hochsensible Informationen wie Call-Detail-Record-Daten (CDR) enthalten, und verschafften sich so Zugang zu den sensiblen Kommunikationsdaten der Nutzer der betroffenen Telekommunikationsdienste.
Hochrangige Spionageziele: Auf der Grundlage früherer Erkenntnisse aus dem Operation Soft Cell Report, den Cybereason im Jahr 2019 veröffentlicht hat, sowie anderer veröffentlichter Analysen von Operationen dieser Bedrohungsakteure, wird davon ausgegangen, dass die Telekommunikation kompromittiert wurde, um Spionage gegen ausgewählte Ziele zu ermöglichen. Zu diesen Zielen gehören wahrscheinlich Unternehmen, Politiker, Regierungsbeamte, Strafverfolgungsbehörden, politische Aktivisten und Dissidenten, die für die chinesische Regierung von Interesse sind.
Handeln im Interesse Chinas: Drei verschiedene Gruppen von Angriffen stehen in unterschiedlichem Maße mit den APT-Gruppen Soft Cell, Naikon und Group-3390 in Verbindung, die alle dafür bekannt sind, im Interesse der chinesischen Regierung zu operieren. Überschneidungen in den TTPs der Angreifer in den verschiedenen Clustern sind ein Beweis für eine wahrscheinliche Verbindung zwischen den Bedrohungsakteuren, was die Einschätzung stützt, dass jede Gruppe mit parallelen Zielen bei der Überwachung der Kommunikation spezifischer hochwertiger Ziele unter der Leitung einer zentralisierten Koordinierungsstelle, die mit den Interessen des chinesischen Staates übereinstimmt, beauftragt war.
Potenzial für breitere Wirkung: Diese Angriffe betrafen in erster Linie Telekommunikationsunternehmen in den ASEAN-Ländern, aber die Angriffe könnten sich auch auf Telekommunikationsunternehmen in anderen Regionen ausweiten. Auch wenn die vorherrschende Einschätzung ist, dass die Operationen nur zu Spionagezwecken durchgeführt wurden, bleibt die Tatsache bestehen, dass die Angreifer, wenn sie sich entschieden hätten, ihre Ziele von Spionage auf Störung zu ändern, in der Lage gewesen wären, die Kommunikation aller Kunden der betroffenen Telekommunikationsunternehmen zu unterbrechen. (Cybereason: ra)
eingetragen: 03.09.21
Newsletterlauf: 18.10.21
Cybereason: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.