Die beiden US-Sicherheitsunternehmen Rapid7 and Recorded Future haben vor Kurzem einen 38-seitigen Bericht veröffentlicht. Darin beschreiben Sie ausführlich ihre Funde über die Aktivitäten der chinesischen Hackertruppe, APT10, von denen schon lange bekannt ist, dass sie im staatlichen Auftrag handeln. Ihre Untersuchungen beleuchten einen Vorfall, der am 17. August 2018 stattfand.

APT10, auch bekannt als Stone Panda, drang damals in das Netzwerk der norwegischen Serviceprovider Visma ein. Das Unternehmen zählt zu den größten Anbietern von Cloud-basierten Business-Software-Lösungen in Europa. Etwa zeitgleich waren auch Angriffe auf eine US-amerikanische Anwaltskanzlei die chinesischen Unternehmen hilft, im US-Markt tätig zu werden und ein internationales Bekleidungsunternehmen gestartet worden. Rapid7 identifizierte dies anhand der Daten, die sie während der Untersuchung des Visma Vorfalls gesammelt hatten. Die Sicherheitsexperten gaben der dabei verwendeten Angriffsmethode den Namen Cloudhopper. Cloudhopper begann 2017 und zielte auf Unternehmen aus aller Welt ab, vor denen es sich bei den meisten um Cloud-Anbieter handelte.

Details zum Visma Angriff

Laut dem Bericht diente APT10 der Einbruch in das Visma Netzwerk nur als Sprungbrett, um an ihre eigentlichen Ziele zu kommen – Vismas Kunden. Die IT-Sicherheit bei Visma reagierte schnell genug, um das Schlimmste zu verhindern. Bei Angriffen dieser Gruppe geht es meistens um den Diebstahl von wichtigen Wirtschaftsinformationen. Leicht vorstellbar was hätte passieren können, wenn die Hacker geschafft hätten, sich in die Netzwerke von vielen Hunderten Unternehmen weltweit einzuhacken. Auf seiner Website veröffentlichte Visma eine offizielle Erklärung zu dem Angriff. Darin hieß es, dass die Angreifer nur interne Visma-Daten gestohlen hätten und keines der Kundensysteme betroffen war.

Bei ihrem Angriff auf das interne Netzwerk von Visma nutzten sie gestohlene gültige Benutzerdaten der Mitarbeiter für einen Citrix oder LogMeIn Remote-Access-Software-Client. Damit konnten sie den Zugriff ausweiten und ihre Privilegien erweitern, um ihre spezielle Malware zu aktivieren. Dabei handelte es sich um eine neu entdeckte Version des Fernzugriffstrojaners von Trochilus. Normalerweise verschlüsselt der Remote-Access-Trojaner (RAT) seine Befehls- und Steuerungskommunikation mit einer RC4-Stream-Verschlüsselung. Diese neueste Version verwendet jedoch eine Kombination aus XOR, RC4 und Salsa20, hieß es in dem Bericht. Die beiden anderen Opfer wurden allerdings mit einer viel neueren Version des UPPERCUT (ANEL) Backdoor-Malware-Programms angegriffen. Außerdem wurde auch Mimikatz eingesetzt, um Berechtigungsnachweise zu stehlen.

Identifizierte Cloudhopper Malware

Insgesamt identifizierten die Sicherheitsexperten eine ganze Reihe von Malwaretools darunter

• eine neue Variante der Trochilus-Malware, bei der die C2-Kommunikation mit einer Kombination aus RC4- und Salsa20-Stream-Chiffren verschlüsselt wurde;
• eine UPPERCUT-Hintertür beim Angriff auf das internationale Bekleidungsunternehmen und die US-Kanzlei. Diese wurde mithilfe des Notepad++ Aktualisierungsprogramms bereitgestellt und böswilliges DLL wurde via Sideloading vorgenommen;
• sowie neben Trochilus und UPPERCUT auch eine Reihe bereits bekannter und dazugehöriger Angriffs-TTPs. Darunter: Übertragen von Tools von der C2 zum Host mithilfe von BITSAdmin-geplanten Tasks in C:\ProgramData\temp;
• DLL-Sideloading durch Ausführen einer legitimen Binärdatei zum Laden einer umbenannten böswilligen DLL, die eine Trochilus-Nutzlast entschlüsselt, dekomprimiert und in den Speicher injiziert.
• legitime Berechtigungsnachweise, die möglicherweise in früheren MSP-Angriffen gestohlen wurden, um sich bei den erreichbaren Citrix Remote Desktop-Clients in Zielorganisationen anzumelden

Der Direktor für Operationen im britischen National Cyber Security Center, Paul Chichester, kommentierte, der Fall Visma würde die Gefahren klar aufzeigen, mit denen es Organisationen derzeit zu tun haben. Immer mehr Cyberangriffe werden auf ihre Lieferketten ausgeführt. Laut Chichester sei das so, da sich die Unternehmen mittlerweile vermehrt auf die Verbesserung ihrer eigenen Cybersicherheit konzentrieren würden. Die Angreifer zielen daher auf Lieferketten ab, um andere und leichtere Einbruchswege zu finden.

Ausführlicher Bericht von recordedfuture.com: APT10 Targeted NorwegianMSP and US Companies in Sustained Campaign
Artikel von scmagazine.com, 06.02.2019: Report: Chinese cyberspies hacked MSP, retailer and law firm in economic espionage campaign
Artikel von zdnet.com, 06.02.2019: China hacked Norway’s Visma cloud software provider
Artikel von reuters.com, 06.02.2019: China hacked Norway’s Visma to steal client secrets: investigators

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0