„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Im Fokus der Attacken standen dabei Cybersicherheits-Perimetergeräte. Die Angreifer nutzten eine Reihe von Kampagnen mit neuartigen Exploits und maßgeschneiderter Malware, um Tools zur Durchführung von Überwachung, Sabotage und Cyberspionage einzubetten, die sich zudem mit Taktiken, Tools und Verfahren (TTPs) bekannter chinesischer Nationalstaatsgruppen wie Volt Typhoon, APT31 und APT41 überschnitten. Die Gegner nahmen vor allem in Süd- und Südostasien sowohl kleine als auch große kritische Infrastrukturen und Regierungsziele ins Visier, darunter Kernenergielieferanten, den Flughafen einer Landeshauptstadt, ein Militärkrankenhaus, den Staatssicherheitsapparat und zentrale Ministerien.

Im gesamten pazifischen Raum arbeitete Sophos X-Ops, die Cybersicherheits- und Threat-Intelligence-Abteilung des Unternehmens, daran, die Bewegungen der Gegner zu neutralisieren sowie Verteidigungs- und Gegenoffensiven kontinuierlich weiterzuentwickeln. Nachdem Sophos erfolgreich auf die ersten Angriffe reagiert hatte, verstärkten die Gegner ihre Bemühungen und holten erfahrenere Operatoren hinzu. Im Lauf der anschließenden Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem.

Angreifer legen Fokus auf Kompromittierung von ungepatchten oder End-of-Life-Geräten

Während Sophos seit 2020 immer wieder Details zu einzelnen Kampagnen aus den Angriffswellen veröffentlichte, darunter Cloud Snooper und Asnarök, teilt das Unternehmen nun die Gesamtanalyse der letzten fünf Jahre, um das Bewusstsein für die Hartnäckigkeit chinesischer Nationalstaatgegner und deren absoluten Fokus auf die Kompromittierung von ungepatchten oder End-of-Life-Geräten im Netzwerkperimeter; häufig über Zero-Day-Exploits, die speziell für diese Geräte entwickelt wurden. Die Security-Experten raten alle Organisationen, mit absoluter Priorität Patches für Schwachstellen einzuspielen, die in ihren mit dem Internet verbundenen Geräten entdeckt wurden, sowie alle älteren, nicht mehr durch Updates unterstützte Geräte auf aktuelle Modelle zu migrieren.

Ross McKerchar, CISO bei Sophos. „Die Gruppen verschleiern und unterstützten ihre Attacken durch sogenannte Operational Relay Boxes (ORB), die zum Beispiel über kompromittierte IoT-Geräte zum Einsatz kommen. Im Mittelpunkt der Aktivitäten steht die direkte Spionage oder die indirekte Ausnutzung von Schwachstellen für zukünftige Angriffe mit entsprechenden Kollateralschäden, da auch Organisationen getroffen werden, die ursprünglich keine Zielscheibe waren. Für Unternehmen entwickelte Netzwerkgeräte sind besonders attraktive Ziele für diese Zwecke – sie sind leistungsstark, immer aktiv und verfügen über ständige Konnektivität. Als eine Gruppe, die ein globales ORB-Netzwerk aufbauen wollte, einige unserer Geräte ins Visier nahm, reagierten wir mit der Anwendung derselben Erkennungs- und Reaktionstechniken, die wir zum Schutz unserer Unternehmensendpunkte und Netzwerkgeräte verwenden. Dies ermöglichte es uns, die Vorgänge zu stoppen und auf wertvolle Bedrohungsinformationen zuzugreifen, die wir nutzten, um unsere Kunden zu schützen.“

Ziele sind oft die schwächsten Glieder der Lieferkette

Jüngste Hinweise der CISA (Cybersecurity and Infrastructure Security Agency) haben deutlich gemacht, dass chinesische Nationalstaatgruppen zu einer ständigen Bedrohung für die kritische Infrastruktur vieler Nationen geworden sind“, so McKerchar weiter. „Was wir oft vergessen, ist, dass kleine und mittlere Unternehmen – also diejenigen, die den Großteil der Lieferkette für kritische Infrastrukturen ausmachen – Ziele sind, da sie oft die schwächsten Glieder in diesem Geschäftssystem sind. Leider verfügen diese Organisationen oft über weniger Ressourcen, um sich gegen solch komplexe Bedrohungen zu verteidigen. Erschwerend kommt hinzu, dass die aktuellen Gegner dazu neigen, sich heimlich in Systemen einzunisten und auf Schleichfahrt im Netzwerk zu gehen. Das macht es sehr schwierig, sie zu entdecken und zu vertreiben – und sie werden nicht aufhören, bis sie gestört werden.“

Unternehmen sollten damit rechnen, dass alle mit dem Internet verbundenen Geräte Hauptziele nationalstaatlicher Gegner sind, insbesondere Geräte in kritischen Infrastrukturen. Sie sollten folgenden Maßnahmen ergreifen, um ihre Sicherheitslage zu stärken.

  • Internetbasierte Dienste und Geräte minimieren.
  • Patches für mit dem Internet verbundene Geräte priorisieren und die Geräte überwachen.
  • Hotfixes für Edge-Geräte zulassen, die automatisch angewendet werden.
  • Plan für den Umgang Ihrer Organisation mit End-of-Life-Geräten erstellen.
  • Mit Strafverfolgungsbehörden, öffentlichen und privaten Partnern sowie der Regierung zusammenarbeiten, um relevante IoCs auszutauschen und darauf zu reagieren.

Den Report gibt es unter www.Sophos.com/pacificrim

Roger Homrich

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

16 Stunden ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

18 Stunden ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

20 Stunden ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

2 Tagen ago