US-Regierung warnt vor China-Hackern

Laut der Cybersecurity and Infrastructure Security Agency (CISA) haben chinesische Hacker im vergangenen Jahr Netzwerke der US-Regierung auf das Vorhandensein beliebter Netzwerkgeräte gescannt und dann Exploits auf kürzlich aufgedeckte Schwachstellen genutzt, um in sensiblen Netzwerken Fuß zu fassen. Die Liste der ins Visier genommenen Geräte umfasst F5 Big-IP Load Balancer, Citrix- und Pulse Secure VPN-Appliances sowie Microsoft Exchange E-Mail-Server. Für jedes dieser Geräte wurden in den letzten 12 Monaten größere Schwachstellen öffentlich bekannt gegeben, wie z.B. CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 und CVE-2020-0688.

Laut einer heute vom CISA veröffentlichten Tabelle, in der die chinesischen Aktivitäten gegen diese Geräte zusammengefasst sind, waren einige Angriffe erfolgreich und ermöglichten es chinesischen Hackern, in Bundesnetzen Fuß zu fassen. Diese Angriffe sind nicht neu. ZDNet berichtete im vergangenen Jahr, dass Hacker des chinesischen Staates weniger als einen Monat, nachdem die Schwachstellen bekannt wurden, auf Pulse Secure- und Fortinet-VPN-Server gezielt hatten.

Darüber hinaus sind chinesische Hacker nicht die einzigen, die diese speziellen Netzwerkgeräte ins Visier genommen haben. Die oben aufgeführten Geräte wurden auch von iranischen staatlichen Akteuren ins Visier genommen, wie aus einem Bericht des privaten Cyber-Sicherheitssektors und einer im vergangenen Monat vom FBI veröffentlichten Cyber-Sicherheitswarnung hervorgeht.

Eine iranische Gruppe hat diese Art von Geräten massenhaft kompromittiert und dann Zugang zu anderen iranischen Gruppen gewährt, so dass diese die Netzwerke, die sie kompromittieren wollten, für geheimdienstliche Sammelaktionen auswählen konnten. Die kompromittierten Geräte, die nicht ausgewählt wurden, wurden einem Crowdstrike-Bericht zufolge später in unterirdischen Hacking-Foren zum Verkauf angeboten.

Der CISA-Alarm ruft den US-Privatsektor und Regierungsbehörden dazu auf, F5, Citrix, Pulse Secure und Microsoft Exchange-Geräte zu patchen. Die Warnung warnt jedoch auch davor, dass chinesische Hacker ein breites Spektrum anderer Einbruchsmethoden anwenden.

Dazu gehören auch die Verwendung von Spear-Phishing-E-Mails – ein klassischer Angriff chinesischer staatlicher Akteure – und der Einsatz von Brute-Force-Angriffen, die sich schwache oder voreingestellte Zugangsdaten zunutze machen.

Wenn chinesische Hacker erst einmal in zielgerichtete Netzwerke eingedrungen sind, setzen sie oft auch kommerzielle und Open-Source-Tools ein, um sich lateral über Netzwerke zu bewegen und Daten auszulesen. Dazu gehört auch der Einsatz von Penetrationstest-Tools wie Cobalt Strike und Mimikatz.

Wenn Angriffe auf öffentlich zugängliche Web-Systeme wie VPNs, Web- und E-Mail-Server abzielen, hat der CISA nach eigenen Angaben häufig Hacker aus dem chinesischen Staat entdeckt, die die Web-Shell China Chopper einsetzen, ein gängiges Tool, das sie seit fast einem Jahrzehnt verwenden.

CISA-Beamte empfehlen, dass Sicherheitsteams in Privatunternehmen, im Privatsektor und in Regierungsbehörden den Bericht lesen, die gemeinsamen Taktiken, Techniken und Verfahren (TTPs) chinesischer staatlicher Akteure zur Kenntnis nehmen, Geräte patchen und Erkennungsregeln entsprechend einsetzen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Jakob Jung

Recent Posts

MacOS und Ransomware

Apple-Rechner gelten als besonders sicher. Angesichts der Bedrohung durch Ransomware bröckelt dieser Ruf, denn MacOS…

18 Stunden ago

Vier Jahre DSGVO

Zum vierten Jahrestag der Datenschutzgrundverordnung (DSGVO) erklärt Herbert Abben, Director DACH beim SANS Institute, dass…

18 Stunden ago

Microsoft: Virtuelle Entwickler-Workstation Dev Box

Microsoft bereitet einen maßgeschneiderten Virtualisierungs-Service in der Cloud für Entwickler vor namens Microsoft Dev Box,…

19 Stunden ago

Windows 11 bereit für Unternehmenseinsatz

Microsoft sagt, dass Windows 11 einen wichtigen Meilenstein erreicht hat und bereit für den Einsatz…

3 Tagen ago

Nachhaltigkeit verbessert Geschäftsergebnis

Der Einsatz für Umweltschutz lohnt sich finanziell. Gesteigerte Effizienz, Innovation und Umsatzwachstum gehören zu den…

3 Tagen ago

Der Linux-Kernel 5.18 ist da

Der Linux-Kernel 5.18 enthält einen Intel-Treiber, der es dem Chip-Hersteller ermöglichen könnte, neue Silizium-Funktionen zu…

3 Tagen ago