Eine technisch hochentwickelte und vom chinesischen Staat unterstütze Hacker­bande ist in die Systeme von mindestens 6 US-Bundesstaaten eingedrungen, zeigt ein Security-Report von Mandiant. Den Recherchen zufolge konnte die Gruppe über eine Schwachstelle in der .NET-Entwicklerplattform von Microsoft in die Regierungsnetzwerke eindringen. Zudem sei eine bisher unbekannte Schwachstelle im Tier­gesund­heits-Datenbanksystem USAHERDS ausgenutzt worden.

"Wir sagen 'mindestens sechs Staaten', weil nach unseren Recherchen, Analysen und Gesprächen mit den Strafverfolgungsbehörden wahrscheinlich mehr Bundesstaaten betroffen sind", sagte Rufus Brown, Senior Threat Analyst bei Mandiant, "Wir wissen, dass es 18 Staaten gibt, die USAHERDS nutzen, daher gehen wir davon aus, dass es sich wahrscheinlich um eine breitere Kampagne handelt als die 6, für die wir eine Bestätigung haben." Die Datenbank wurde ursprünglich für das Landwirtschaftsministerium von Pennsylvania entwickelt und sollte eine Verbesserung der Rückverfolgbarkeit von Tierkrankheiten gewährleisten.

Gemäss eigenen Angaben fand Mandiant Beweise dafür, dass in "Spionage­manier" in staatliche Netzwerke eingedrungen und personenbezogene Daten aus dem System gestohlen wurden. Alles in allem hätten die Untersuchungen von Mandiant das Bild von äussert beeindruckenden Spionagetätigkeiten eines sich ständig anpassenden Gegners gezeigt.

Die Angriffe auf die Regierungen der US-Bundesstaaten dauerten laut dem Bericht von Mai 2021 bis Februar 2022. Neben der Kompromittierung von .NET-basierten Anwendungen nutzte die Hacker-Bande auch die Log4Shell-Schwach­stelle aus. Solche Angriffe durch besonders fortschrittliche und staatlich unter­stützte oder finanzierte Akteure werden auch als Advanced Persistent Threats (APT) bezeichnet. Hinter der aktuellen Kampagne soll die von China unterstützte Gruppe ATP41 stecken.

"Die jüngsten Aktivitäten von APT41 gegen US-Bundesstaaten umfassen bedeutende neue Fähigkeiten, von neuen Angriffsvektoren bis hin zu Tools und Techniken für die Zeit nach der Kompromittierung", heisst es in dem Bericht. "APT41 ist in der Lage, ihre ursprünglichen Zugriffstechniken schnell anzupassen, indem sie eine Umgebung über einen anderen Vektor erneut kompromittieren oder eine neue Schwachstelle schnell ausnutzen."

Mandiant hat in der Vergangenheit bereits schwerwiegende Cyber-Bedrohungen aufgedeckt, darunter auch staatlich gesponserte Angriffe wie den Solarwinds-Hack durch die russische APT29. Erst diese Woche wurde bekannt, dass der Cybersecurity-Spezialist von Google übernommen werden soll.

Auch die Threat Analysis Group (TAG) des Suchmaschinenriesen habe mehrere Gmail-Nutzer davor gewarnt, dass sie Ziel von Phishing-Attacken einer von China unterstützten Hackergruppe mit der Bezeichnung APT31 waren. Die Warnungen seien erfolgt, nachdem die Abwehrsysteme die Nachrichten als Phishing-E-Mails blockiert und als Spam gekennzeichnet hatten.

"Im Februar entdeckten wir eine APT31-Phishing-Kampagne, die auf hochrangige Gmail-Nutzer abzielte, die mit der US-Regierung in Verbindung stehen", erklärte Shane Huntley, Direktor der TAG. "Heute haben wir den Personen, die Ziel der von der Regierung unterstützten Angreifer waren, eine Warnung geschickt. Wir haben keine Anhaltspunkte dafür, dass diese Kampagne mit dem aktuellen Krieg in der Ukraine zusammenhängt."

Noch im Oktober sagte der TAG-Sicherheitsingenieur Ajax Bash, dass das Unternehmen im Jahr 2021 rund 50'000 Warnungen vor staatlich unterstützten Hacking- oder Phishing-Versuchen an Kunden versandt habe. Von diesen seien etwa 15'000 der Gruppe APT28 zuzuschreiben, die in Verbindung mit dem russischen Militärgeheimdiensts (GRU) gebracht werde.

Die Sicherheitsexperten von Google erklärten ausserdem, dass russische, weissrussische und chinesische Bedrohungsakteure ukrainische und europäische Regierungs- und Militäreinrichtungen mit weit verbreiteten Phishing-Kampagnen und DDoS-Attacken angegriffen hätten.