Was wir schon immer vermutet haben, ist nun Gewissheit. BlackBerry deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten.
Diese greifen seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben.
Der Bericht „Decade of the RATs“: Plattformübergreifende APT-Spionageangriffe auf Linux, Windows und Android bietet Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht.
Besonders vor dem Hintergrund von Sicherheitsproblemen, die durch das aktuell vermehrte Arbeiten aus dem Homeoffice auftreten, ist die plattformübergreifende Eigenschaft der Angriffe besorgniserregend. Die in den Angriffen identifizierten Tools werden bereits eingesetzt, um die Homeoffice-Situation auszunutzen ebenso wie die geringere Anzahl von Mitarbeitern vor Ort, die den Schutz der entscheidenden Systeme sicherstellen. Während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben wertvolle Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen.
Linux betreibt fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation, 2020). Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die BlackBerry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen.
„Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, sodass der Schutz für Linux nicht ausreichend ist“, so Eric Cornelius, Chief Product Architect bei BlackBerry. „Die APT-Gruppen haben diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt hat.“
Weitere wichtige Ergebnisse des Berichts sind:
- Die in diesem Bericht untersuchten APT-Gruppen sind wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschen.
- Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. Es wurde jedoch festgestellt, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit besteht, insbesondere was die Linux-Plattformen anbelangt.
- Die Untersuchung identifiziert zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von BlackBerry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben.
- Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstesttools, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt.
- Die Studie untersucht mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden.
- Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen.
„Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde“, erklärt John McClurg, Chief Information Security Officer bei BlackBerry. „Die Ergebnisse bilden ein weiteres Kapitel in der Geschichte des chinesischen IP-Diebstahls und liefert uns neue Erkenntnisse, aus denen wir lernen können.“
www.blackberry.com/de/de