Ein umfassender Bericht von Sophos deckt ein fünfjähriges Katz-und-Maus-Spiel mit staatlich unterstützten chinesischen Cyberkriminellen auf und zeigt die dringende Notwendigkeit verstärkter Cybersicherheitsmaßnahmen.
Hintergrund und Zielgruppen der Angriffe
Der kürzlich veröffentlichte „Pacific Rim“-Bericht von Sophos bietet einen tiefgehenden Einblick in ein umfangreiches Angriffsökosystem, das von mehreren China-basierten, staatlich unterstützten Cybergruppen aufgebaut wurde. Zu diesen Gruppen gehören bekannte Akteure wie Volt Typhoon, APT31 und APT41/Winnti. Diese Gruppen zielten gezielt auf Perimetergeräte, insbesondere Sophos Firewalls, die als Einstiegspunkte in Unternehmensnetzwerke dienen.
Die Angriffe konzentrierten sich hauptsächlich auf Organisationen in Süd- und Südostasien. Zu den betroffenen Sektoren zählen:
- Kritische Infrastrukturen wie Energieversorger und Kernenergieanbieter
- Militärische Einrichtungen und staatliche Sicherheitsapparate
- Telekommunikationsunternehmen
- Zentrale Regierungsbehörden und Ministerien
Die Angreifer nutzten dabei hochentwickelte Techniken und eigens entwickelte Malware, um Spionage, Sabotage und Überwachung durchzuführen. Dabei wurden sowohl große Organisationen als auch kleinere Unternehmen ins Visier genommen, was die Reichweite und Ambitionen dieser Cyberkampagnen unterstreicht.
Technische Details und Methoden
Die im Bericht detailliert beschriebenen Techniken, Taktiken und Prozeduren (TTPs) zeigen eine kontinuierliche Weiterentwicklung der Angreifer in den letzten fünf Jahren:
- Zero-Day-Exploits und unbekannte Schwachstellen: Die Angreifer nutzten sowohl unbekannte als auch bekannte Schwachstellen in Perimetergeräten aus. Insbesondere setzten sie Zero-Day-Exploits ein, um unbemerkt in Netzwerke einzudringen. Ein Beispiel hierfür ist die Ausnutzung der CVE-2020-12271-Schwachstelle in der Asnarök-Kampagne.
- Maßgeschneiderte Malware und Rootkits: Sophos entdeckte die Verwendung von speziell entwickelter Malware wie Cloud Snooper, die komplexe Rootkit-Techniken einsetzt, um sich tief im System zu verbergen und schwer zu entdecken ist. Zudem wurden speicherresidente Trojaner und UEFI-Bootkits entwickelt, die eine hohe Persistenz ermöglichen.
- Operational Relay Boxes (ORBs): Die Angreifer nutzten kompromittierte Geräte als Zwischenstationen, um Angriffe auf weitere Ziele zu starten und ihre Aktivitäten zu verschleiern. Diese ORBs ermöglichten es ihnen, die Herkunft ihrer Angriffe zu verschleiern und die Angriffe schwerer zurückzuverfolgen.
- Erweiterte Persistenztechniken: Durch den Einsatz von Living-off-the-Land-Techniken und das Einfügen von Backdoors in Java-Klassen konnten die Angreifer länger unentdeckt in den Netzwerken verbleiben. Sie sabotierten zudem Firewall-Telemetrie, um die Erkennung durch Sicherheitslösungen zu erschweren.
- Verbesserte operative Sicherheit (OPSEC): Die Angreifer verbesserten kontinuierlich ihre Methoden, um ihre Aktivitäten zu verbergen. Dazu gehörte das Löschen von Logs, das Verhindern von Sicherheitsupdates und das Reduzieren ihres digitalen Fußabdrucks, um die forensische Analyse zu erschweren.
Konkrete Erkenntnisse zu China
Die Analyse von Sophos führte zu folgenden spezifischen Erkenntnissen über die Aktivitäten und Strategien der China-basierten Angreifer:
- Gemeinsame Nutzung von Exploits: Es wurde festgestellt, dass Exploits, die in der Sichuan-Region entwickelt wurden, zwischen verschiedenen staatlich unterstützten Gruppen geteilt wurden. Dies deutet auf eine koordinierte Strategie hin, bei der Forschung und Entwicklung zentralisiert und die Ergebnisse von verschiedenen operativen Einheiten genutzt werden.
- Zielgerichtete Angriffe auf kritische Infrastruktur: Die Angreifer fokussierten sich auf Einrichtungen von hohem strategischem Interesse, was auf staatliche Interessen hindeutet. Die Opfer umfassten nukleare Energieversorger, staatliche Sicherheitsbehörden und Militäreinrichtungen.
- Einsatz von UEFI-Bootkits auf Firewalls: Die Entdeckung eines experimentellen UEFI-Bootkits, das auf Firewalls eingesetzt wurde, ist besonders bemerkenswert. Dies zeigt die Bereitschaft und Fähigkeit der Angreifer, neue und ungewöhnliche Techniken einzusetzen, um ihre Ziele zu erreichen.
- Zusammenarbeit mit Forschungseinrichtungen: Hinweise deuten darauf hin, dass es eine Forschergemeinschaft in Chengdu gibt, die bei der Entwicklung von Exploits zusammenarbeitet und diese mit staatlichen Stellen teilt. Dies unterstreicht die enge Verbindung zwischen staatlicher Unterstützung und der Nutzung von Ressourcen aus dem akademischen Bereich.
Auswirkungen auf die Zukunft des Cybercrime
Die im „Pacific Rim“-Bericht beschriebenen Aktivitäten haben weitreichende Implikationen für die Zukunft des Cybercrime:
- Professionalisierung und staatliche Unterstützung: Die zunehmende Professionalisierung von Cyberangriffen, insbesondere mit staatlicher Unterstützung, wird zu einer weiteren Eskalation der Cyberbedrohungen führen. Staaten nutzen Cyberangriffe als Instrument der geopolitischen Einflussnahme und Spionage.
- Zielgerichtete Angriffe auf Lieferketten: Da auch kleinere Unternehmen und Zulieferer Teil der Angriffsziele sind, werden Lieferkettenangriffe zunehmen. Angreifer nutzen Schwachstellen bei kleineren Partnern, um in größere Netzwerke einzudringen.
- Fortschrittliche Angriffstechniken werden zum Standard: Techniken wie Living-off-the-Land, speicherresidente Malware und UEFI-Bootkits werden häufiger eingesetzt und erfordern von Unternehmen fortschrittlichere Sicherheitsmaßnahmen und erweiterte Überwachung.
- Verstärkte Notwendigkeit zur internationalen Zusammenarbeit: Angesichts der globalen Natur dieser Angriffe wird eine verstärkte Zusammenarbeit zwischen Unternehmen, Regierungen und Sicherheitsanbietern notwendig sein, um effektiv auf diese Bedrohungen reagieren zu können.
- Anpassung der Verteidigungsstrategien: Unternehmen müssen ihre Sicherheitsstrategien an die sich verändernde Bedrohungslandschaft anpassen. Dies beinhaltet die Priorisierung von Perimetersicherheit, die Implementierung von Zero Trust-Modellen und die kontinuierliche Überwachung von Netzwerkaktivitäten.
Empfehlungen und Schutzmaßnahmen
Basierend auf den Erkenntnissen des Berichts gibt Sophos folgende Empfehlungen:
- Regelmäßige und sofortige Sicherheitsupdates: Unternehmen sollten sicherstellen, dass alle Geräte, insbesondere Perimetergeräte, stets auf dem neuesten Stand sind. Sicherheitsupdates sollten sofort nach Verfügbarkeit eingespielt werden.
- Verwendung unterstützter Hardware und Software: Es ist essenziell, dass nur Geräte und Software verwendet werden, die vom Hersteller aktiv unterstützt und mit Updates versorgt werden.
- Aktivierung von automatischen Hotfixes: Funktionen für automatische Sicherheitsupdates sollten aktiviert sein, um zeitnah auf neue Bedrohungen reagieren zu können.
- Reduzierung der Angriffsfläche: Durch die Beschränkung von Internet-Exposition und die Einhaltung von Best Practices für die Konfiguration von Netzwerkgeräten kann die Angriffsfläche reduziert werden.
- Implementierung von erweiterten Überwachungsmechanismen: Unternehmen sollten in erweiterte Telemetrie und Monitoring-Lösungen investieren, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
- Zusammenarbeit mit Partnern und Behörden: Eine enge Zusammenarbeit mit Cybersicherheitsanbietern, Branchenpartnern und Behörden ist entscheidend, um aktuelle Bedrohungsinformationen auszutauschen und gemeinsam effektive Gegenmaßnahmen zu entwickeln.
Fazit
Der „Pacific Rim“-Bericht von Sophos verdeutlicht die zunehmende Komplexität und Professionalisierung von Cyberangriffen, insbesondere von staatlich unterstützten Akteuren aus China. Die Angriffe auf Perimetergeräte zeigen, dass kein Unternehmen immun gegen solche Bedrohungen ist, unabhängig von Größe oder Branche.
Es ist von entscheidender Bedeutung, dass Unternehmen ihre Cybersicherheitsstrategien anpassen und proaktiv Maßnahmen ergreifen, um ihre Netzwerke zu schützen. Die Zukunft des Cybercrime wird von immer raffinierteren Techniken und einer engeren Verzahnung zwischen staatlichen Akteuren und Cyberkriminellen geprägt sein. Nur durch gemeinsame Anstrengungen und kontinuierliche Wachsamkeit kann diesen Bedrohungen effektiv begegnet werden.
- Steuerhinterziehung und Einziehung im Kontext von Cum-Ex-Geschäften - 2. Dezember 2024
- Abrechnungsbetrug und Scheingestaltungen - 2. Dezember 2024
- Verwertung der dienstlichen Erklärung der Sitzungsvertreterin der Staatsanwaltschaft - 2. Dezember 2024