Eine chinesischsprachige Cybergruppe hat Anfang 2022 mehrmals staatliche und Rüstungsunternehmen in Russland sowie in Osteuropa und Afghanistan angegriffen. Das teilte der Pressedienst von Kaspersky Lab der Nachrichtenagentur TASS unter Berufung auf die Experten des Cybersicherheitsunternehmens mit. Diese vermuten, dass die Angriffe auf Cyberspionage abzielten. Der Pressedienst erklärte:
“Experten von Kaspersky Lab verzeichneten Anfang 2022 eine Welle gezielter Angriffe auf Rüstungsunternehmen und Regierungsstellen in Afghanistan, Russland und mehreren osteuropäischen Ländern. Eine Untersuchung der Angelegenheit zeigte Angriffe auf mehr als ein Dutzend Organisationen. Die Angreifer hatten es vermutlich auf Cyberspionage abgesehen. Experten vermuten, dass die entdeckte Angriffsserie mit den Aktivitäten der chinesischsprachigen Cybergruppe TA428 in Verbindung stehen könnte.”
In mehreren Fällen übernahmen die Angreifer die vollständige Kontrolle über die IT-Infrastruktur der angegriffenen Unternehmen. Sie sollen hauptsächlich neue Modifikationen von bereits bekannter Malware, die darauf ausgelegt ist, ein infiziertes System heimlich aus der Ferne zu steuern, sowie Angriffstechniken und die Umgehung von Informationssicherheitsmaßnahmen genutzt haben.
Die Mitglieder der Cybergruppe verwendeten Phishing-E-Mails, die Insider-Informationen enthielten, die zum Zeitpunkt ihrer Verwendung durch die Angreifer nicht öffentlich zugänglich waren. Insbesondere verwendeten sie interne Projekt-Codenamen sowie die Namen von Mitarbeitern, die mit sensiblen Informationen arbeiten. Der Pressedienst fügte hinzu:
“An die Phishing-E-Mails wurden Microsoft Word-Dokumente mit schädlichem Code angehängt, der die Sicherheitslücke CVE-2017-11882 ausnutzt. Sie ermöglicht es der Malware, die Kontrolle über das infizierte System zu erlangen, ohne dass der Benutzer zusätzliche Maßnahmen ergreifen muss. Der Benutzer muss nicht einmal die Ausführung von Makros aktivieren (eine Reihe von Befehlen und Anweisungen, die als ein einziger Befehl gruppiert werden, um eine Aufgabe in Word-Dateien automatisch auszuführen).”
Für den Angriff sollen die Hacker das Dienstprogramm Ladon verwendet haben, mit dem sie das Netzwerk scannen, Schwachstellen finden und ausnutzen und Passwörter stehlen konnten, so die Experten. In der letzten Phase hätten sie den Domaincontroller übernommen und die volle Kontrolle über die Workstations und Server des Unternehmens erlangt. “Anschließend hätten die Hacker nach Dateien mit sensiblen Daten gesucht und sie auf ihre in verschiedenen Ländern aufgestellten Server hochgeladen. Dieselben Server seien auch zur Steuerung der Malware verwendet worden, hieß es.
Wjatscheslaw Kopeizew, Senior Expert bei Kaspersky ICS CERT, erklärte:
“Die von uns entdeckte Angriffsserie ist nicht der erste Teil einer offenbar bösartigen Kampagne. Da die Angreifer erfolgreich sind, gehen wir davon aus, dass sich solche Angriffe in Zukunft wiederholen könnten.”
Er fügte hinzu, dass gezieltes Phishing nach wie vor eine der größten Bedrohungen für Industrieunternehmen und Regierungsbehörden darstellt. Laut Kopeizew müssen Unternehmen und Regierungsorganisationen auf der Hut sein und sich darauf vorbereiten, ausgeklügelte gezielte Bedrohungen abzuwehren.
Mehr zum Thema – Bundesinnenministerin Faeser will Grundgesetzänderung für Cybersicherheit
