Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.
Ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya kompromittierten die Angreifer externe Service-Anbieter – in diesem Fall Telekommunikationsunternehmen – mit dem übergreifenden Ziel, deren Kundenbasis auszuspionieren.
Der Bericht folgt zeitlich und inhaltlich auf die öffentliche Rüge der Biden-Administration an die Adresse des chinesischen Ministeriums für Staatssicherheit hinsichtlich der jüngsten HAFNIUM-Vorfälle.
Dabei wurden Schwachstellen in nicht gepatchten Microsoft Exchange-Servern ausgenutzt und Tausende von Unternehmen weltweit gefährdet. Eben diese Schwachstellen auszunutzen war auch für die in dieser Studie beschriebenen Angriffe der Schlüssel zum Erfolg.
Der Report, betitelt DeadRinger: Exposing Chinese Threat Actors Targeting Major Telcos, identifiziert unterschiedliche Cluster von Angriffsaktivitäten, die seit mindestens 2017 nicht entdeckt wurden. Sie sind höchstwahrscheinlich das Werk mehrerer prominenter Advanced Persistent Threat (APT)-Gruppen, die eng mit den Interessen der chinesischen Regierung verbunden sind. Cybereason konnte bei allen drei Operationen signifikante Überschneidungen bei Taktik, Technik und Prozedere (TTPs) beobachten. Das Unternehmen vermutet, dass die Angreifer ihre Ziele wahrscheinlich parallel unter der Leitung einer zentralen Koordinierungsstelle und im Einklang mit den Interessen des chinesischen Staates verfolgen.
„Die Angriffe sind ausgesprochen besorgniserregend, denn sie untergraben die Sicherheit von Anbietern kritischer Infrastrukturen. Ins Visier geraten dabei vertrauliche und geschützte Informationen sowohl öffentlicher wie privater Unternehmen, die für ihre Geschäftstätigkeit auf eine geschützte Kommunikation angewiesen sind. Solcherart staatlich geförderte Spionageoperationen wirken sich nicht nur negativ auf Kunden und Geschäftspartner der betreffenden Telekommunikationsunternehmen aus. Sie haben zusätzlich das Potenzial, die nationale Sicherheit der Länder in der Region zu gefährden sowie derjenigen, die ein berechtigtes Interesse an Stabilität innerhalb der Region haben”, so Lior Div, CEO und Mitgründer von Cybereason. „Genau aus diesem Grund beschäftigt sich bei Cybereason ein globales Team erfahrener Threat Intelligence-Ermittler mit den Taktiken, Techniken und Vorgehensweisen hochkarätiger Gegenspieler – mit dem Ziel, Unternehmen jetzt und in Zukunft besser vor dieser Art von komplexen Angriffen zu schützen.”
Zu den wichtigsten Ergebnissen zählen:
- Adaptiv, persistent und evasiv: Die Angreifer sind besonders anpassungsfähig und haben ihre Aktivitäten sorgfältig verschleiert, um die Persistenz auf den infizierten Systemen zu gewährleisten. Das erlaubt es ihnen ganz offensichtlich, dynamisch auf Gegenmaßnahmen zu reagieren, nachdem es ihnen gelungen ist Sicherheitsmaßnahmen seit mindestens dem Jahr 2017 zu umgehen. Im Übrigen auch ein Hinweis darauf, dass die Ziele für die Angreifer von großem Wert sind.
- Kompromittierung von Dritten, um bestimmte Ziele zu erreichen: Ganz ähnlich wie bei den jüngsten Angriffen auf SolarWinds und Kaseya haben die Angreifer externe Dritte kompromittiert – in diesem Fall Telekommunikationsunternehmen – mit der Absicht, bestimmte hochrangige Kunden der betroffenen Telekommunikationsunternehmen auszuspionieren.
- Microsoft Exchange-Schwachstellen ausgenutzt: Vergleichbar den HAFNIUM-Angriffen haben die Angreifer die jüngst bekannt gewordenen Schwachstellen in Microsoft Exchange-Servern ausgenutzt, um sich Zugang zu den anvisierten Netzwerken zu verschaffen. Anschließend wurden kritische Assets kompromittiert wie Domain Controller (DC) und Abrechnungssysteme, die hochsensible Informationen wie Call Detail Record (CDR)-Daten enthalten. Die Angreifer können so auf die sensible Kommunikation sämtlicher Nutzer der betroffenen Telekommunikationsdienste zugreifen.
- Hochrangige Spionageziele: Basierend auf den früheren Ergebnissen des Operation Soft Cell Report, im Jahr 2019 von Cybereason veröffentlicht, sowie weiteren veröffentlichten Analysen zurückliegender Operationen dieser Angreifergruppen, kann man davon ausgehen, dass die Telekommunikationssysteme kompromittiert wurden, um ausgewählte Ziele auszuspionieren.
Dazu zählen Unternehmen, Persönlichkeiten des politischen Lebens, Regierungsbeamte, Strafverfolgungsbehörden, aber auch politische Aktivisten und Dissidentengruppen, die für die chinesische Regierung von Interesse sind.
- Operation im chinesischen Interesse: Drei verschiedene Angriffscluster haben eine jeweils andere Verbindung zu den APT-Gruppen Soft Cell, Naikon und Group-3390 – alle bekannt dafür, im Interesse der chinesischen Regierung aktiv zu sein. Signifikante Überschneidungen bei den TTPs der Angreifer in den verschiedenen Clustern legen eine Verbindung zwischen den Akteuren nahe. Dieser Befund stützt die These, dass jede Gruppe parallele Ziele bei der Überwachung der Kommunikation spezifischer hochrangiger Ziele verfolgt. Und, dass die Operationen unter der Leitung einer zentralen Koordinierungsstelle stehen, die im Einklang mit den Interessen des chinesischen Staates agiert.
- Potenzial für weitreichende Auswirkungen: Diese Angriffe betreffen hauptsächlich Telekommunikationsunternehmen in ASEAN-Ländern, lassen sich aber gegen Telkos in anderen Regionen replizieren. Vorrangig dienen die Operationen Spionagezwecken – so jedenfalls die Einschätzung der Analysten von Cybereason. Allerdings wäre es durchaus möglich, die Zielsetzung zu ändern und den Fokus auf die Störung der Kommunikation zu legen. Dann hätten die Angreifer die Option, die Kommunikation sämtlicher Kunden der betroffenen Telekommunikationsunternehmen zu beeinträchtigen
www.