DarkHotel: Hacker greifen chinesische Behörden über VPN-Zero-Day-Lücke an

Der chinesische Sicherheitsanbieter Qihoo 360 hat eine massive Angriffswelle auf chinesische Regierungsbehörden aufgedeckt. Die Hintermänner sollen mit staatlicher Unterstützung handeln. Für ihre Attacken, die im März begannen, nutzen sie eine Zero-Day-Lücke in SSL-VPN-Servern von Sangfor.

Bisher wurden den Forschern zufolge mehr als 200 VPN-Server geknackt. Davon befanden sich 174 in Netzwerken von Regierungsbehörden in Peking und Shanghai. Betroffen sind aber offenbar auch diplomatische Niederlassungen der Volksrepublik in Italien, Großbritannien, Saudi-Arabien, Indien, Israel, der Türkei, Thailand und weiteren Ländern.

Im Untersuchungsbericht von Qihoo 360 heißt es, die gesamte Angriffskette sei sehr ausgeklügelt und clever. Auf einem gehackten VPN-Server ersetzten die Cyberkriminellen eine Datei namens SangforUD.exe durch eine speziell gestaltete Version. Bei der Datei handele es sich um ein Update für den Sangfor-VPN-Client – die manipulierte Version installiere auf Client-Systemen aber stattdessen einen Backdoor-Trojaner.

Die Angriffe verfolgten die Forscher zurück zu einer DarkHotel genannten Gruppe, die auf der koreanischen Halbinsel vermutet wird. Unklar ist jedoch, ob die seit 2007 aktive Gruppe, die zu den fortschrittlichsten weltweit gezählt wird, von Nordkorea oder von Südkorea unterstützt wird.

Google-Forscher hatten im März gemeldet, dass DarkHotel im vergangenen Jahr insgesamt fünf Zero-Day-Lücken für ihre Angriffe benutzte, mehr als jede andere Gruppierung. 2020 sollen es die Hacker mit der Sangfor-Schwachstelle schon auf drei Zero-Day-Lücken bringen.

Die Motive für die aktuelle Kampagne konnten die Forscher bisher nicht eindeutig klären. Sie vermuten, dass es um Informationen zum Umgang der chinesischen Behörden mit der COVID-19-Pandemie geht. Reuters zufolge soll DarkHotel zuletzt auch gegen die Weltgesundheitsorganisation WHO vorgegangen sein, die weltweit die Bemühungen zur Eindämmung des neuartigen Corona-Virus koordiniert.

Sangfor ist die Zero-Day-Lücke seit 3. April bekannt. Nach Angaben des Unternehmens sind VPN-Server mit den Firmware-Versionen M6.3R1 und M6.1 angreifbar. Heute im Lauf des Tags sollen für alle anfälligen Systeme Updates zur Verfügung stehen. Ein Skript soll Kunden zudem helfen, kompromittierte VPN-Server aufzuspüren. Ein weiteres Tool kündigte Sangfor an, um von den Hackern eingeschleuste Dateien zu entfernen.