US-Regierung warnt vor China-Hackern

Laut der Cybersecurity and Infrastructure Security Agency (CISA) haben chinesische Hacker im vergangenen Jahr Netzwerke der US-Regierung auf das Vorhandensein beliebter Netzwerkgeräte gescannt und dann Exploits auf kürzlich aufgedeckte Schwachstellen genutzt, um in sensiblen Netzwerken Fuß zu fassen. Die Liste der ins Visier genommenen Geräte umfasst F5 Big-IP Load Balancer, Citrix- und Pulse Secure VPN-Appliances sowie Microsoft Exchange E-Mail-Server. Für jedes dieser Geräte wurden in den letzten 12 Monaten größere Schwachstellen öffentlich bekannt gegeben, wie z.B. CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 und CVE-2020-0688.

Laut einer heute vom CISA veröffentlichten Tabelle, in der die chinesischen Aktivitäten gegen diese Geräte zusammengefasst sind, waren einige Angriffe erfolgreich und ermöglichten es chinesischen Hackern, in Bundesnetzen Fuß zu fassen. Diese Angriffe sind nicht neu. ZDNet berichtete im vergangenen Jahr, dass Hacker des chinesischen Staates weniger als einen Monat, nachdem die Schwachstellen bekannt wurden, auf Pulse Secure- und Fortinet-VPN-Server gezielt hatten.

Darüber hinaus sind chinesische Hacker nicht die einzigen, die diese speziellen Netzwerkgeräte ins Visier genommen haben. Die oben aufgeführten Geräte wurden auch von iranischen staatlichen Akteuren ins Visier genommen, wie aus einem Bericht des privaten Cyber-Sicherheitssektors und einer im vergangenen Monat vom FBI veröffentlichten Cyber-Sicherheitswarnung hervorgeht.

Eine iranische Gruppe hat diese Art von Geräten massenhaft kompromittiert und dann Zugang zu anderen iranischen Gruppen gewährt, so dass diese die Netzwerke, die sie kompromittieren wollten, für geheimdienstliche Sammelaktionen auswählen konnten. Die kompromittierten Geräte, die nicht ausgewählt wurden, wurden einem Crowdstrike-Bericht zufolge später in unterirdischen Hacking-Foren zum Verkauf angeboten.

Der CISA-Alarm ruft den US-Privatsektor und Regierungsbehörden dazu auf, F5, Citrix, Pulse Secure und Microsoft Exchange-Geräte zu patchen. Die Warnung warnt jedoch auch davor, dass chinesische Hacker ein breites Spektrum anderer Einbruchsmethoden anwenden.

Dazu gehören auch die Verwendung von Spear-Phishing-E-Mails – ein klassischer Angriff chinesischer staatlicher Akteure – und der Einsatz von Brute-Force-Angriffen, die sich schwache oder voreingestellte Zugangsdaten zunutze machen.

Wenn chinesische Hacker erst einmal in zielgerichtete Netzwerke eingedrungen sind, setzen sie oft auch kommerzielle und Open-Source-Tools ein, um sich lateral über Netzwerke zu bewegen und Daten auszulesen. Dazu gehört auch der Einsatz von Penetrationstest-Tools wie Cobalt Strike und Mimikatz.

Wenn Angriffe auf öffentlich zugängliche Web-Systeme wie VPNs, Web- und E-Mail-Server abzielen, hat der CISA nach eigenen Angaben häufig Hacker aus dem chinesischen Staat entdeckt, die die Web-Shell China Chopper einsetzen, ein gängiges Tool, das sie seit fast einem Jahrzehnt verwenden.

CISA-Beamte empfehlen, dass Sicherheitsteams in Privatunternehmen, im Privatsektor und in Regierungsbehörden den Bericht lesen, die gemeinsamen Taktiken, Techniken und Verfahren (TTPs) chinesischer staatlicher Akteure zur Kenntnis nehmen, Geräte patchen und Erkennungsregeln entsprechend einsetzen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Jakob Jung

Recent Posts

71 Opfer seit September: Forscher warnen vor Ransomware Egregor

Die Hintermänner sind bisher in 19 Ländern aktiv. Die Mehrheit der Opfer befindet sich jedoch…

44 Minuten ago

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

16 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

17 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

19 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

20 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

22 Stunden ago