US-Behörden warnen vor neuen Cyber­angriffen aus Russland

6. Mai 2021 um 10:23
  • cybercrime
  • solarwinds
  • usa
  • russland
  • cyberangriff
image

Russische APT-Akteure zielen weiterhin auf US-Organisationen und Verbündete. Dies mit Techniken wie beim Solarwinds-Hack.

Russische Hacker werden nach wie vor offensive Cyberangriffe gegen die USA und ihre Verbündeten starten, um Informationen zu stehlen oder die Grundlagen für künftige Operationen zu legen. Dies schreiben mehrere US-Behörden in einem kürzlich publizierten Bericht.
In ihrem Advisory warnen das FBI, das Ministerium für Innere Sicherheit (DHS) und die Cybersecurity-Behörde CISA, im Visier desrussischen Auslandsnachrichtendiensts SWR stünden insbesondere Regierungsnetzwerke, Think-Tanks sowie IT-Unternehmen.
Die US-Behörden sowie das britische National Cyber Security Centre (NCSC) machen den SWR für den Angriff auf die Supply Chain von Solarwinds verantwortlich. Die Akteure seien in der Security-Szene auch als APT 29, Dukes und Cozybear bekannt.

IT-Mitarbeitende als Opfer

Beim "Sunburst-Hack" sind die Angreifer über kompromittierte Solarwinds-Produkte in Organisationen eingedrungen. Erste Erkenntnisse des FBIs würden darauf hindeuten, dass sich die Solarwinds-Hacker nach dem ersten Eindringen ähnlich verhalten hätten, wie dies bei anderen vom SWR gesponserten Angriffen der Fall gewesen sei.
Nachdem sie sich Zugang zu den Netzwerken verschafften, seien die Angreifer weiter vorgedrungen, um Zugriff auf E-Mail-Konten zu erhalten. Zu den Zielen bei mehreren Opferorganisationen gehörten laut dem Bericht insbesondere Konten von IT-Mitarbeitenden. Das FBI vermutet, dass die Akteure das IT-Personal überwachten, um einerseits Informationen über die Netzwerke der Opfer zu sammeln und um andererseits festzustellen, ob die Opfer die Eindringlinge entdeckt hatten.
Der Bericht beschreibt gängige Techniken, die bei SWR-Operationen zum Einsatz kommen würden, darunter Password Spraying, das Ausnutzen von Zero-Day-Schwachstellen und das Einschleusen von Malware.
Beim Passwort-Spraying zielen die Angreifer auf Admin-Konten ab, die mit schwachen oder Standard-Username und -Passwort gesichert sind. Um solche Angriffe zu verhindern, raten die Behörden zum Einsatz von Multi-Faktor-Authentifizierung.
Im Bericht wird daneben auch vor der Malware Wellmess gewarnt, die mit APT 29 in Verbindung gebracht wird und bei Angriffen auf Covid-19-Impfstoff-Forschungseinrichtungen verwendet wurde.
"Das FBI und das DHS stellen Informationen über die Cyber-Tools, Ziele, Techniken und Fähigkeiten des SWR zur Verfügung, um Organisationen bei der Durchführung ihrer eigenen Untersuchungen und der Sicherung ihrer Netzwerke zu unterstützen", so der Report. 
Auch wenn es schwierig sei, ein Netzwerk im Falle eines Supply-Chain-Hacks bei vertrauenswürdigen Produkten zu schützen, haben Unternehmen die Möglichkeit die Auswirkungen zu minimieren. Die Behörden listen eine Reihe von Massnahmen auf, darunter die Überprüfung von Log Files oder Authentifizierungsmechanismen, die bestimmte Aktivitäten – wie der Zugriff neuer Geräte – erkennt. 

Loading

Mehr erfahren

Mehr zum Thema

image

Europol schaltet grosses Phishing-Netzwerk aus

Behörden aus 19 Ländern haben mit Labhost eine der weltweit grössten Phishing-Plattformen ausgehoben. Deren Chefentwickler wurde verhaftet.

publiziert am 18.4.2024
image

Neue russische Windows-Backdoor entdeckt

Security-Experten melden eine Hintertür in Windows-Systemen. Hinter ihr soll die berüchtigte russische Hackergruppe Sandworm stecken, die vor allem gegen die Ukraine agiert.

publiziert am 17.4.2024
image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024