+43 699 / 18199463
office@itexperst.at

Neue auflebende alte Cybergefahr aus China

Eine Hackengruppe, die eigentlich gar nicht so neu ist, versetzt neuerdings Cybersicherheitsunternehmen in helle Aufregung mit ihrer Operation Cloud Hopper. Die Gruppe, die MenuPass oder ATP10 genannt wird und höchstwahrscheinlich mit der chinesischen Regierung im Zusammenhang steht, hat es auf Unternehmen vieler wichtiger Branchen weltweit abgesehen. Unternehmen im Bau-, Luftfahrt- und Telekommunikationssektor, Ingenieurbüros und auch Regierungsstellen einiger Länder werden gezielt Cyberspionage ausgesetzt. APT ist bereits auf dem Radar der Cybersicherheitsunternehmen seit 2009.

Experten bemerkten Mitte letzten Jahres allerdings einen deutlichen Anstieg ihrer Aktivitäten. Dies veranlasste das National Cybersecurity Communications and Integration Center des US-amerikanischen „Department of Homeland Security“ einen Vorfallbericht herauszugeben mit einer mittleren Warnstufe – eine Gefährdung für die öffentliche Gesundheit oder Sicherheit, die nationale und wirtschaftliche Sicherheit, die auswärtigen Beziehungen, die bürgerlichen Freiheiten oder Beeinträchtigung des öffentlichen Vertrauens.

Das Sicherheitsunternehmen FireEye kennt die Machenschaften der Gruppe sehr genau. Seit Jahren schon überwacht FireEye ihre Aktivitäten akribisch und kommt zu dem Schluss, dass sie chinesische nationale Sicherheitsziele tatkräftig mitunterstützt. Dazu gehört das Absaugen von wichtigen militärischen und geheimen Informationen und auch dem Diebstahl von vertraulichen Geschäftsdaten, letzteres mit dem Ziel, chinesischen Unternehmen einen Wettbewerbsvorteil zu verschaffen.

Das US-CERT überwacht APT10 ebenfalls und arbeitet schon seit Längerem mit den Opfern ihrer Angriffe zusammen. Bisher musste die Behörde miterleben, wie mindestens ein großer amerikanischer IT-Dienstleister kompromittiert wurde. Der kürzlich veröffentliche CERT-Vorfallbericht beruft sich auch auf alle diesbezüglichen Forensik Ergebnisse private IT-Unternehmen, wie beispielsweise BAE Systems, FireEye, PwC und Palo Alto Networks. Der Vorfallbericht warnt, dass APT10 „anspruchsvolle Malwareimplantate auf kritische Systeme ansetzt“ um an administrative Anmeldeinformationen (lokal und Domäne) und Zertifikate zu kommen.

Nichtsdestotrotz scheint der ganze Wirbel um ihre Aktivitäten an APT10 abzuprallen. Die Gruppe setzt ihre Cyberspionage Kampagnen weiter fort und das mit verbesserten Hackingwerkzeugen und erweiterten Fähigkeiten. Forensiker von Palo Alto Networks und FireEye konnten bereits vor einiger Zeit beweisen, dass die Hackergruppe mehrere ganz neue Hintertüren, Remote-Access-Trojaner und bösartige E-Mail-Anhänge verwendet um sich geschickt durch fremde Computernetzwerke zu manövrieren. Tools wie REDLEAVES oder BUGJUICE, laden verschlüsselte Shell-Codes auf ein kompromittiertes Computersystem, das bestimmte Dateien aufspürt und stiehlt, Laufwerke durchwühlt und auch Screenshots machen kann.

In der Zeit zwischen 2014 – 2016 arbeitete APT10 überwiegend mit PlugX-Malware und konnte damit schon großen Schaden anrichten gegen amerikanische Gesundheitsunternehmen wie Hymne, CareFirst Premera und Blue Cross. Laut John Hultquist, Direktor der Cyberspionageanalyse bei iSIGHT Partners, hat es APT10 nun jedoch auf weltweite IT-Dienstleister abgesehen, da es damit auf eine weitere Gruppe von Opfern zugreifen kann – nämlich deren Kunden. PwC und BAE System kamen zu den gleichen Rückschlüssen.

Und obwohl nun durch die Zusammenarbeit der verschieden öffentlichen und privaten IT-Organisationen schon sehr viel aufgedeckt werden konnte, gehen Experten davon aus, dass das nur die Spitze des Eisbergs widerspiegelt. Die globalen Operationen von APT10 gehen indessen fleißig weiter – mit sehr sorgfältig gestalteten E-Mail-Phishingangriffen.

Siehe auch:

Artikel von us-cert.gov, 27.04.2017: INTRUSIONS AFFECTING MULTIPLE VICTIMS ACROSS MULTIPLE  SECTORS
Artikel von scmagazine.com, 06.04.2017: APT 10’s Cloud Hopper campaign exposed
Report von pwc.co.uk, Operation Cloud Hopper

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen