Anzeige

Der Dieb kommt aus China

Was wir schon immer vermutet haben, ist nun Gewissheit. BlackBerry deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten. 

Diese greifen seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben.

Der Bericht „Decade of the RATs“: Plattformübergreifende APT-Spionageangriffe auf Linux, Windows und Android bietet Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht.

Besonders vor dem Hintergrund von Sicherheitsproblemen, die durch das aktuell vermehrte Arbeiten aus dem Homeoffice auftreten, ist die plattformübergreifende Eigenschaft der Angriffe besorgniserregend. Die in den Angriffen identifizierten Tools werden bereits eingesetzt, um die Homeoffice-Situation auszunutzen ebenso wie die geringere Anzahl von Mitarbeitern vor Ort, die den Schutz der entscheidenden Systeme sicherstellen. Während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben wertvolle Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen.

Linux betreibt fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation, 2020). Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die BlackBerry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen.

„Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, sodass der Schutz für Linux nicht ausreichend ist“, so Eric Cornelius, Chief Product Architect bei BlackBerry. „Die APT-Gruppen haben diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt hat.“

Weitere wichtige Ergebnisse des Berichts sind: 

  • Die in diesem Bericht untersuchten APT-Gruppen sind wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschen.
  • Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. Es wurde jedoch festgestellt, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit besteht, insbesondere was die Linux-Plattformen anbelangt.
  • Die Untersuchung identifiziert zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von BlackBerry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben.
  • Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstesttools, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt.
  • Die Studie untersucht mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden.
  • Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen.

„Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde“, erklärt John McClurg, Chief Information Security Officer bei BlackBerry. „Die Ergebnisse bilden ein weiteres Kapitel in der Geschichte des chinesischen IP-Diebstahls und liefert uns neue Erkenntnisse, aus denen wir lernen können.“

www.blackberry.com/de/de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!