US-Behörden warnen vor Cyberangriffen aus China

Die US-amerikanischen Sicherheits- und Nachrichtendienste warnen davor, dass staatlich geförderte Cyberkriminelle aus China weiterhin öffentlich bekannte Schwachstellen ausnutzen. Ziel ist es, die Infrastruktur von Telekommunikationsunternehmen und Netzbetreibern zu gefährden. In einer gemeinsam von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und Federal Bureau of Investigation (FBI) veröffentlichten Stellungnahme werden die seit 2020 ausgenutzten Schwachstellen in Verbindung mit Netzwerkgeräten aufgeführt.

Der Warnung zufolge nutzen die von der chinesischen Regierung finanzierten Agenten anfällige Netzwerkgeräte, wie Router und NAS-Geräte (Network Attached Storage), aus. Sie dienen als Zugangspunkte für den direkten Befehls- und Kontrollverkehr (C2), um in Netzwerke einzudringen. Das Problem: Diese Geräte werden von Cyberabwehrprogrammen oft vernachlässigt und können mit der routinemäßigen Patch-Installation der Endgeräte nicht mithalten.

Seit 2020 führen die Kriminellen breit angelegte Kampagnen durch, um öffentlich bekannte Sicherheitslücken, auch bekannt als Common Vulnerabilities and Exposures (CVEs), schnell auszunutzen. Denn die verwendete Technik ermöglichte es ihnen, mit öffentlich zugänglichem Code, der gegen VPN-Dienste (Virtual Private Network) oder öffentliche Anwendungen eingesetzt wurde, Zugang zu den Konten der Opfer zu erlangen.

Darüber hinaus warnen die Behörden davor, dass die Angreifer ihre Taktiken stetig weiterentwickeln und anpassen, um die bestehenden Netzwerkschutzmaßnahmen zu umgehen. Schließlich wurde festgestellt, dass die Kriminellen die Benutzerkonten und Aktivitäten von Sicherheitssystemen überwachen und ihre Strategien fortwährend ändern, um unentdeckt zu bleiben. Demnach kombinieren sie oft eine Reihe von öffentlich verfügbaren Programmen, um ihre Aktivitäten zu verbergen, indem sie sich in vorhandene Netzwerke oder Aktivitäten einklinken.

Die im Folgenden aufgeführten Schwachstellen und Sicherheitsrisiken sind die CVEs, die laut den US-Behörden seit 2020 am häufigsten von kriminellen Akteuren mit chinesischem Hintergrund ausgenutzt werden.

Die von der chinesischen Regierung finanzierten Agenten verwenden häufig Open-Source-Tools, um Schwachstellen zu erkennen und zu suchen. Dabei nutzen sie eine Router-spezifische Open-Source-Software, wie zum Beispiel RouterSploit (für integrierte Geräte) und RouterScan (zum Scannen von IP-Adressen auf Schwachstellen), um Marken, Modelle und bekannte Sicherheitslücken zu identifizieren.

Nicht verwunderlich also, dass die US-Behörden staatliche Institutionen und Unternehmen dazu auffordern, ihre Empfehlungen zu befolgen. Ziel ist es, die Sicherheitsvorkehrungen zu verbessern und das Risiko eines Angriffs auf sensible Netzwerke zu reduzieren.

Diebstahl von geistigem Eigentum

Angriffe, die Schwachstellen ausnutzen, ziehen oft die mediale Aufmerksamkeit auf sich. Heimtückischere Attacken bleiben hingegen meist unbemerkt und dass obwohl sie mit einem deutlich größeren finanziellen Schaden verbunden sind. Diese Warnung wurde im vergangenen Mai in Form einer Cybereason-Studie verlautet. Schließlich deckte die Studie einen derartigen Angriff auf, der mutmaßlich von der chinesischen Gruppe APT Winnti durchgeführt wurde.

Cybereason informierte das FBI und das US-Justizministerium (DOJ) über die als Operation CuckooBees bezeichnete Untersuchung. Denn jahrelang operierte die Kampagne unentdeckt und schöpfte geistiges Eigentum und vertrauliche Daten ab.

Anschließend untersuchte das Cybereason-Team zwei Berichte – einen, der die in der Kampagne eingesetzten Taktiken und Techniken untersucht, und einen weiteren mit einer detaillierteren Analyse der Malware und der durchgeführten Exploitation-Aktivitäten.

Dieses Vorgehen wurde im Rahmen von Untersuchungen zu mehreren Einbrüchen in Technologie- und Produktionsunternehmen in Nordamerika, Europa und Asien aufgedeckt. Seit mindestens 2019 blieben die kriminellen Aktivitäten im Verborgenen. Deshalb ist auch davon auszugehen, dass es der Gruppe gelungen ist, Hunderte von Gigabyte an Daten zu stehlen. Dabei zielten die Angreifer auf geistiges Eigentum ab, darunter vertrauliche Dokumente, Blaupausen, Formeln und geschützte Daten im Zusammenhang mit der Herstellung. Darüber hinaus wurden Informationen gesammelt, die für zukünftige Cyberangriffe genutzt werden können, zum Beispiel Details über Geschäftsbereiche, Netzwerkarchitektur, Benutzerkonten und Anmeldedaten, E-Mails von Mitarbeitern und Kundendaten.

Die APT-Gruppe Winnti schreibt den Cybereason-Forschern der Operation CuckooBees mittleres bis hohes Vertrauen zu. Sie ist auch als APT 41, BARIUM und Blackfly bekannt und wird von der chinesischen Regierung wegen ihrer Diskretion, Raffinesse und ihres Schwerpunkts auf dem Diebstahl von Technologiegeheimnissen unterstützt.

Cybereason weist darauf hin, dass es aufgrund der Komplexität, Geheimhaltung und Raffinesse der Angriffe schwierig ist, die genaue Anzahl der von Operation CuckooBees betroffenen Unternehmen abzuschätzen.