Anzeige

Der Dieb kommt aus China

Was wir schon immer vermutet haben, ist nun Gewissheit. BlackBerry deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten. 

Diese greifen seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben.

Der Bericht „Decade of the RATs“: Plattformübergreifende APT-Spionageangriffe auf Linux, Windows und Android bietet Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht.

Besonders vor dem Hintergrund von Sicherheitsproblemen, die durch das aktuell vermehrte Arbeiten aus dem Homeoffice auftreten, ist die plattformübergreifende Eigenschaft der Angriffe besorgniserregend. Die in den Angriffen identifizierten Tools werden bereits eingesetzt, um die Homeoffice-Situation auszunutzen ebenso wie die geringere Anzahl von Mitarbeitern vor Ort, die den Schutz der entscheidenden Systeme sicherstellen. Während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben wertvolle Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen.

Linux betreibt fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation, 2020). Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die BlackBerry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen.

„Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, sodass der Schutz für Linux nicht ausreichend ist“, so Eric Cornelius, Chief Product Architect bei BlackBerry. „Die APT-Gruppen haben diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt hat.“

Weitere wichtige Ergebnisse des Berichts sind: 

  • Die in diesem Bericht untersuchten APT-Gruppen sind wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschen.
  • Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. Es wurde jedoch festgestellt, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit besteht, insbesondere was die Linux-Plattformen anbelangt.
  • Die Untersuchung identifiziert zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von BlackBerry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben.
  • Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstesttools, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt.
  • Die Studie untersucht mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden.
  • Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen.

„Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde“, erklärt John McClurg, Chief Information Security Officer bei BlackBerry. „Die Ergebnisse bilden ein weiteres Kapitel in der Geschichte des chinesischen IP-Diebstahls und liefert uns neue Erkenntnisse, aus denen wir lernen können.“

www.blackberry.com/de/de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!