Security Reports zeigen chinesische Cyberspionage in den USA

9. März 2022, 12:38
image
Foto: Chris Yang / Unsplash

Vom chinesischen Staat unterstützte Hacker-Banden haben Regierungsziele in den USA angegriffen. Sowohl Google als auch Mandiant warnen.

Eine technisch hochentwickelte und vom chinesischen Staat unterstütze Hacker­bande ist in die Systeme von mindestens 6 US-Bundesstaaten eingedrungen, zeigt ein Security-Report von Mandiant. Den Recherchen zufolge konnte die Gruppe über eine Schwachstelle in der .NET-Entwicklerplattform von Microsoft in die Regierungsnetzwerke eindringen. Zudem sei eine bisher unbekannte Schwachstelle im Tier­gesund­heits-Datenbanksystem USAHERDS ausgenutzt worden.
"Wir sagen 'mindestens sechs Staaten', weil nach unseren Recherchen, Analysen und Gesprächen mit den Strafverfolgungsbehörden wahrscheinlich mehr Bundesstaaten betroffen sind", sagte Rufus Brown, Senior Threat Analyst bei Mandiant, "Wir wissen, dass es 18 Staaten gibt, die USAHERDS nutzen, daher gehen wir davon aus, dass es sich wahrscheinlich um eine breitere Kampagne handelt als die 6, für die wir eine Bestätigung haben." Die Datenbank wurde ursprünglich für das Landwirtschaftsministerium von Pennsylvania entwickelt und sollte eine Verbesserung der Rückverfolgbarkeit von Tierkrankheiten gewährleisten.

Staatlich gesponserte Akteure

Gemäss eigenen Angaben fand Mandiant Beweise dafür, dass in "Spionage­manier" in staatliche Netzwerke eingedrungen und personenbezogene Daten aus dem System gestohlen wurden. Alles in allem hätten die Untersuchungen von Mandiant das Bild von äussert beeindruckenden Spionagetätigkeiten eines sich ständig anpassenden Gegners gezeigt.
Die Angriffe auf die Regierungen der US-Bundesstaaten dauerten laut dem Bericht von Mai 2021 bis Februar 2022. Neben der Kompromittierung von .NET-basierten Anwendungen nutzte die Hacker-Bande auch die Log4Shell-Schwach­stelle aus. Solche Angriffe durch besonders fortschrittliche und staatlich unter­stützte oder finanzierte Akteure werden auch als Advanced Persistent Threats (APT) bezeichnet. Hinter der aktuellen Kampagne soll die von China unterstützte Gruppe ATP41 stecken.
"Die jüngsten Aktivitäten von APT41 gegen US-Bundesstaaten umfassen bedeutende neue Fähigkeiten, von neuen Angriffsvektoren bis hin zu Tools und Techniken für die Zeit nach der Kompromittierung", heisst es in dem Bericht. "APT41 ist in der Lage, ihre ursprünglichen Zugriffstechniken schnell anzupassen, indem sie eine Umgebung über einen anderen Vektor erneut kompromittieren oder eine neue Schwachstelle schnell ausnutzen."
Mandiant hat in der Vergangenheit bereits schwerwiegende Cyber-Bedrohungen aufgedeckt, darunter auch staatlich gesponserte Angriffe wie den Solarwinds-Hack durch die russische APT29. Erst diese Woche wurde bekannt, dass der Cybersecurity-Spezialist von Google übernommen werden soll.

Noch mehr Bedrohungen

Auch die Threat Analysis Group (TAG) des Suchmaschinenriesen habe mehrere Gmail-Nutzer davor gewarnt, dass sie Ziel von Phishing-Attacken einer von China unterstützten Hackergruppe mit der Bezeichnung APT31 waren. Die Warnungen seien erfolgt, nachdem die Abwehrsysteme die Nachrichten als Phishing-E-Mails blockiert und als Spam gekennzeichnet hatten.
"Im Februar entdeckten wir eine APT31-Phishing-Kampagne, die auf hochrangige Gmail-Nutzer abzielte, die mit der US-Regierung in Verbindung stehen", erklärte Shane Huntley, Direktor der TAG. "Heute haben wir den Personen, die Ziel der von der Regierung unterstützten Angreifer waren, eine Warnung geschickt. Wir haben keine Anhaltspunkte dafür, dass diese Kampagne mit dem aktuellen Krieg in der Ukraine zusammenhängt."

Auch Europa betroffen

Noch im Oktober sagte der TAG-Sicherheitsingenieur Ajax Bash, dass das Unternehmen im Jahr 2021 rund 50'000 Warnungen vor staatlich unterstützten Hacking- oder Phishing-Versuchen an Kunden versandt habe. Von diesen seien etwa 15'000 der Gruppe APT28 zuzuschreiben, die in Verbindung mit dem russischen Militärgeheimdiensts (GRU) gebracht werde.
Die Sicherheitsexperten von Google erklärten ausserdem, dass russische, weissrussische und chinesische Bedrohungsakteure ukrainische und europäische Regierungs- und Militäreinrichtungen mit weit verbreiteten Phishing-Kampagnen und DDoS-Attacken angegriffen hätten.

Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Über 11'600 offene IT-Stellen in der Schweiz

Im 2. Quartal 2022 suchte der IT-Sektor dringend nach Fachleuten. Allein Swisscom schrieb 351 Stellen aus.

publiziert am 1.7.2022
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

In der Schweiz werden im Kryptowinter weniger Startups gegründet

Die Zahl der Firmengründungen ist im ersten Halbjahr 2022 gesunken. Die Gründerplattform Startups.ch macht auch den Krieg in der Ukraine und den Homeoffice-Boom dafür verantwortlich.

publiziert am 30.6.2022