Gegen drei Telcos, eine Rüstungsfirma und einen Satellitenbetreiber seien seit 2017 grossangelegte Cyber-Angriffe durchgeführt worden, schreibt Symantec in einem Blogpost. Demnach seien Organisationen und Firmen in den USA und Südost-Asien von den Angriffen der Gruppe Thrip aus China betroffen gewesen. Die US-Firma vermutet Spionage als Motiv für den Vorfall.

In welchem Umfang Kommunikation abgehört worden ist oder ob dies den Angreifern überhaupt gelungen ist, konnten die Security-Experten nicht sagen. Schwer wiege aber, dass Computer infiziert worden seien, mit denen man die Position von Satelliten verändern oder den Datenverkehr hätte unterbrechen können. Darum könne es sein, dass die Angreifer auch Schlimmeres im Sinne hatten als Spionage.

Bei ihren Angriffen nutzten die Kriminellen die sogenannten "Living off the Land"-Taktiken. Eindringlinge greifen dabei auf Tools zurück, die bereits auf Zielcomputern installiert sind oder führen einfache Skripts und Shellcode direkt im Arbeitsspeicher aus. Da dabei weniger neue Dateien auf der Festplatte erstellt werden oder der Angriff ganz dateilos erfolgt, wird die Chance verringert, dass die Attacke von herkömmlichen Sicherheitstools erkannt und blockiert wird.

Zu den wichtigsten von Thrip verwendeten Tools gehören die Microsoft-Tools PsExec und PowerShell, der Open-Source-FTP-Client WinSCP sowie die Software LogMeIn. Die Gruppe nutzte zudem das frei verfügbare Mimikatz-Hacking-Tool. Im Blogbeitrag von Symantec sind einige technische Details aufgeführt.

Mittlerweile sei die Gefahr behoben, so Symantec. Man habe die Erkenntnisse mit Behörden in den USA und in Asien geteilt und weitere IT-Security-Firmen informiert. (ts)