Thought Leadership
Die Sicherheitsforscher Antivirenherstellers ESET haben eine groß angelegte Spionagekampagne aufgedeckt, die offenbar von der staatlich unterstützten chinesischen Hackergruppe „TheWizards“ durchgeführt wird.
Laut Facundo Muñoz, einem Forscher bei ESET, operiert die Gruppe zwar erst seit kurzem, zeigt jedoch bereits ausgeklügelte Angriffsmuster mit erheblichem Schadenspotenzial. Die implementierten Backdoors gewähren den Angreifern langfristigen Zugriff auf infiltrierte Computer.
Raffinierte Man-in-the-Middle-Strategie
Die Hackertruppe setzt auf eine ausgefeilte Man-in-the-Middle-Strategie. Durch technische Manipulationen der IPv6-Konfiguration können sie den Netzwerkverkehr ihrer Opfer umleiten und legitime Verbindungen abfangen.
Ein dokumentierter Angriffsvektor betrifft den Messenger Tencent QQ. Die Hacker unterzogen den Update-Mechanismus der Anwendung einer gezielten Manipulation, wodurch statt des eigentlichen Updates die Schadsoftware „WizardNet“ installiert wurde. Diese Backdoor kommuniziert mit Steuerungsservern und kann zusätzliche .NET-basierte Schadmodule nachladen, ohne Spuren zu hinterlassen.
Die ESET-Analysten identifizierten mindestens fünf verschiedene Kommandos, wovon drei fileless im RAM ausgeführt werden können. Trotz variierender Malware-Komponenten konnte das Sicherheitsteam übereinstimmende Infrastrukturelemente wie gemeinsam genutzte Domains und Server feststellen.
Verbindungen ins chinesische Cybernetzwerk
Die Recherchen von ESET deuten auf eine Verbindung zwischen „TheWizards“ und dem chinesischen Unternehmen Dianke Network Security Technology (alias UPSEC) hin. UPSEC steht im Zusammenhang mit der Android-Schadsoftware „DarkNights“, die vorwiegend tibetische und uigurische Minderheiten ins Visier nimmt.
