US-Behörden warnen vor neuen Cyber­angriffen aus Russland

6. Mai 2021, 10:23
  • cybercrime
  • solarwinds
  • usa
  • russland
  • cyberangriff
image

Russische APT-Akteure zielen weiterhin auf US-Organisationen und Verbündete. Dies mit Techniken wie beim Solarwinds-Hack.

Russische Hacker werden nach wie vor offensive Cyberangriffe gegen die USA und ihre Verbündeten starten, um Informationen zu stehlen oder die Grundlagen für künftige Operationen zu legen. Dies schreiben mehrere US-Behörden in einem kürzlich publizierten Bericht.
In ihrem Advisory warnen das FBI, das Ministerium für Innere Sicherheit (DHS) und die Cybersecurity-Behörde CISA, im Visier desrussischen Auslandsnachrichtendiensts SWR stünden insbesondere Regierungsnetzwerke, Think-Tanks sowie IT-Unternehmen.
Die US-Behörden sowie das britische National Cyber Security Centre (NCSC) machen den SWR für den Angriff auf die Supply Chain von Solarwinds verantwortlich. Die Akteure seien in der Security-Szene auch als APT 29, Dukes und Cozybear bekannt.

IT-Mitarbeitende als Opfer

Beim "Sunburst-Hack" sind die Angreifer über kompromittierte Solarwinds-Produkte in Organisationen eingedrungen. Erste Erkenntnisse des FBIs würden darauf hindeuten, dass sich die Solarwinds-Hacker nach dem ersten Eindringen ähnlich verhalten hätten, wie dies bei anderen vom SWR gesponserten Angriffen der Fall gewesen sei.
Nachdem sie sich Zugang zu den Netzwerken verschafften, seien die Angreifer weiter vorgedrungen, um Zugriff auf E-Mail-Konten zu erhalten. Zu den Zielen bei mehreren Opferorganisationen gehörten laut dem Bericht insbesondere Konten von IT-Mitarbeitenden. Das FBI vermutet, dass die Akteure das IT-Personal überwachten, um einerseits Informationen über die Netzwerke der Opfer zu sammeln und um andererseits festzustellen, ob die Opfer die Eindringlinge entdeckt hatten.
Der Bericht beschreibt gängige Techniken, die bei SWR-Operationen zum Einsatz kommen würden, darunter Password Spraying, das Ausnutzen von Zero-Day-Schwachstellen und das Einschleusen von Malware.
Beim Passwort-Spraying zielen die Angreifer auf Admin-Konten ab, die mit schwachen oder Standard-Username und -Passwort gesichert sind. Um solche Angriffe zu verhindern, raten die Behörden zum Einsatz von Multi-Faktor-Authentifizierung.
Im Bericht wird daneben auch vor der Malware Wellmess gewarnt, die mit APT 29 in Verbindung gebracht wird und bei Angriffen auf Covid-19-Impfstoff-Forschungseinrichtungen verwendet wurde.
"Das FBI und das DHS stellen Informationen über die Cyber-Tools, Ziele, Techniken und Fähigkeiten des SWR zur Verfügung, um Organisationen bei der Durchführung ihrer eigenen Untersuchungen und der Sicherung ihrer Netzwerke zu unterstützen", so der Report. 
Auch wenn es schwierig sei, ein Netzwerk im Falle eines Supply-Chain-Hacks bei vertrauenswürdigen Produkten zu schützen, haben Unternehmen die Möglichkeit die Auswirkungen zu minimieren. Die Behörden listen eine Reihe von Massnahmen auf, darunter die Überprüfung von Log Files oder Authentifizierungsmechanismen, die bestimmte Aktivitäten – wie der Zugriff neuer Geräte – erkennt. 

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023