Microsoft verwies vor einigen Tagen auf eine schwerwiegende Cyberbedrohung, an der ein chinesisches Botnetz namens Quad7 beteiligt ist. Berichten zufolge nimmt Quad7 Organisationen weltweit mit ausgeklügelten Passwort-Spray-Angriffen ins Visier.
Das Botnetz wird von der Gruppierung Storm-0940 betrieben, primäres Ziel ist es, in Netzwerke einzudringen und Anmeldedaten zu stehlen. Dies ebnet den Weg für weitere und potenziell störende Cyber-Aktivitäten. Laut Microsoft scheint das Hauptziel dieser Kampagne die Spionage zu sein. Zu den Zielen gehören hochrangige Einrichtungen wie Denkfabriken, Regierungsbehörden, NGOs, Anwaltskanzleien und auch die Rüstungsindustrie.
Ein Kommentar von Mark Edison Cabel, Malware Researcher bei VIPRE.
Quad7-Botnet nutzt Schwachstellen in Routern
Das Quad7-Botnet ist eine hochentwickelte Bedrohung. Sie richtet sich gegen Unternehmen und Organisationen mit schlecht geschützten oder falsch konfigurierten Routern und anfälligen IoT-Geräten. Quad7 nutzt Schwachstellen in nicht gepatchten Systemen aus und erlangt so die Kontrolle über ein breites Netzwerk kompromittierter Geräte. Der Name „Quad7“ leitet sich von der Tatsache ab, dass bei Angriffen konsequent Port 7777 ins Visier genommen wird. Dieses Botnet ist bekannt dafür, anfällige Router zu kompromittieren. Sie werden genutzt, um Passwort-Spraying-Angriffe speziell auf Microsoft 365-Konten durchzuführen. Im Zentrum der Quad7-Operationen steht der Socks5-Proxy. Der erlaubt es dem Botnet, bösartig manipulierten Datenverkehr über kompromittierte TP-Link-Router weiterzuleiten und so die eigentliche Quelle seiner Angriffe effektiv zu verschleiern.
Analysen zeigen, dass das Hauptziel von Quad7 offenbar das Extrahieren von Daten ist, wobei häufig Marken wie TP-Link, Zyxel, RUCKUS und ASUS attackiert werden. Bei praktisch jeder dieser Marken gibt es zahlreiche Modelle, die anfällig sind – und das Botnetz ist in der Lage, eine Vielzahl von gerätespezifischen Schwachstellen auszunutzen. Diese operative Bandbreite deutet auf einen ressourcenseitig gut ausgestatteten Threat Actor, der seine Techniken anpasst, um unterschiedlichste Geräte und Modelle erfolgreich anzugreifen.
Quad7 zielt zwar in erster Linie auf Router von Endverbrauchern ab, hat aber auch branchenübergreifende Auswirkungen auf große Firmen. Zu diesen nachweislich betroffenen Industriezweigen zählen Telekommunikation, der Technologiesektor, Versorgungsunternehmen, Behörden, Bildung und Medien. Das Botnetz hat offensichtlich das Potenzial sowohl Privatanwender als auch Unternehmens- und institutionelle Netzwerke zu bedrohen.
Sicherheitsmaßnahmen
Um sich gegen Quad7 zu wappnen, sollte man eine Reihe von Maßnahmen umsetzen. Dazu zählen:
- Netzwerksegmentierung
- Threat Intelligence Feeds nutzen, um bösartige IPs und Domains zu blockieren
- Netzwerkaktivitäten auf ungewöhnliche Aktivitäten hin überwachen
- Infizierte Geräte müssen isoliert und neu aufgesetzt werden, um persistente Malware vollständig zu entfernen.
Viele Infektionsversuche lassen sich aber schon im Vorfeld durch eine robuste Geräteverwaltung mittels Firmware-Updates, durch das Nutzen starker Passwörter und eine umfassende Netzwerküberwachung verhindern. Die sogenannten „Indicators of Compromise“ (IoCs) aus Threat Intelligence-Berichten helfen dabei, spezifische C2-Domains, Datei-Hashes und IPs von Quad7 in Zusammenhang mit seinen Aktivitäten zu erkennen.
Was ist das Ziel von Quad7?
Laut einem Bericht fand der Angriff bereits im Juni statt (laut Microsoft startete er im Oktober), einige Monate vor der US-Wahl. Theoretisch bestünde sogar die Möglichkeit, dass Quad7 während der Datenübertragung in die US-Wahlen hätte eingreifen können.
Dazu müsste es gelungen sein, die Kontrolle über die betreffenden Netzwerkgeräte zu übernehmen. Es wäre vermutlich nicht schlecht, wenn die US-Regierung alle bei den US-Wahlen verwendeten Netzwerkgeräte überprüfen würde, sollten sie als gefährdet eingestuft worden sein.
Neben dieser Hypothese stimmen wir aber mit Microsoft darin überein, dass das wesentliche Ziel vorwiegend im Ausspionieren von Informationen liegt. Dafür spricht nicht zuletzt, dass es bereits dokumentierte Angriffe auf den US-amerikanischen Energiesektor und französische Unternehmen gegeben hat.
Weitere Informationen finden Sie hier.
(vp/VIPRE)