Anzeige

Der Dieb kommt aus China

Was wir schon immer vermutet haben, ist nun Gewissheit. BlackBerry deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten. 

Diese greifen seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben.

Der Bericht „Decade of the RATs“: Plattformübergreifende APT-Spionageangriffe auf Linux, Windows und Android bietet Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht.

Besonders vor dem Hintergrund von Sicherheitsproblemen, die durch das aktuell vermehrte Arbeiten aus dem Homeoffice auftreten, ist die plattformübergreifende Eigenschaft der Angriffe besorgniserregend. Die in den Angriffen identifizierten Tools werden bereits eingesetzt, um die Homeoffice-Situation auszunutzen ebenso wie die geringere Anzahl von Mitarbeitern vor Ort, die den Schutz der entscheidenden Systeme sicherstellen. Während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben wertvolle Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen.

Linux betreibt fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation, 2020). Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die BlackBerry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen.

„Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, sodass der Schutz für Linux nicht ausreichend ist“, so Eric Cornelius, Chief Product Architect bei BlackBerry. „Die APT-Gruppen haben diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt hat.“

Weitere wichtige Ergebnisse des Berichts sind: 

  • Die in diesem Bericht untersuchten APT-Gruppen sind wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschen.
  • Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. Es wurde jedoch festgestellt, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit besteht, insbesondere was die Linux-Plattformen anbelangt.
  • Die Untersuchung identifiziert zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von BlackBerry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben.
  • Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstesttools, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt.
  • Die Studie untersucht mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden.
  • Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen.

„Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde“, erklärt John McClurg, Chief Information Security Officer bei BlackBerry. „Die Ergebnisse bilden ein weiteres Kapitel in der Geschichte des chinesischen IP-Diebstahls und liefert uns neue Erkenntnisse, aus denen wir lernen können.“

www.blackberry.com/de/de

 


Weitere Artikel

Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.
Zero Trust

Bedrohungstrends 2021: Ist Zero Trust die Antwort?

Die COVID-19-Pandemie ist weltweit ein Treiber für den digitalen Wandel – und für Cyber-Attacken. Während Unternehmen alles daran setzten, sichere Remote-Arbeits-Infrastrukturen für ihre Mitarbeiter zu schaffen, waren Cyber-Kriminelle vor dem Hintergrund der…
Facebook Hacked

Datendiebstahl bei Facebook: Vorsicht vor Smishing!

Sicherlich haben Sie in den vergangenen Tagen den Datendiebstahl von mehr als 500 Mio. Datensätzen bei Facebook verfolgt. Dazu ein Statement – sowohl zum Trend Smishing als auch ein paar Tipps – unseres Kunden Proofpoint, um die eigene Gefährdung vor diesen…
Update

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.