CISA-FireEye: 16 Malware-Familien aus China infizieren Pulse Secure VPN-Appliances

Cyber Security News

FireEye-CEO Kevin Mandia sagt während einer Anhörung des Senate Intelligence Committee auf dem Capitol Hill am 23. Februar 2021 in Washington, DC aus. FireEye ist Eigentümer des von Mandia gegründeten Unternehmens Mandiant, das Untersuchungen über Malware veröffentlicht hat, die ausschließlich für die Infektion von Ivanti Pulse Connect Secure VPN-Appliances entwickelt wurde. (Foto: Drew Angerer/Getty Images)

FireEye Mandiant hat in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency und Ivanti Details zu 16 Malware-Familien gemeldet, die ausschließlich für die Infizierung von Ivanti Pulse Connect Secure VPN-Appliances entwickelt wurden und von mehreren Cyberspionage-Gruppen genutzt werden, von denen angenommen wird, dass sie mit der chinesischen Regierung in Verbindung stehen.

Der Blog-Beitrag von Mandiant war ein Update zum ursprünglichen Beitrag des Unternehmens vom 20. April, der auf Schwachstellen im Zusammenhang mit den Pulse Secure VPN-Geräten hinwies.

Mathew Hartman, stellvertretender Executive Assistant Director für Cybersicherheit bei der CISA, veröffentlichte diese Erklärung zu der von der CISA veröffentlichten Warnung zu diesem Thema: “Die CISA arbeitet weiterhin eng mit Ivanti und anderen Partnern aus dem privaten Sektor zusammen, um die Schwachstellen in den Pulse Secure VPN-Produkten besser zu verstehen und potenzielle Risiken für Netzwerke im öffentlichen und privaten Sektor zu minimieren. Wie in ähnlichen Fällen haben wir unsere Warnung nach dem Blog von FireEye veröffentlicht, damit wir auf deren technische Informationen verweisen und eine einzige Ressource zur Unterstützung von Netzwerkverteidigern bereitstellen können.”

Laut dem gestrigen Blog berichtete Mandiant, dass die Kompromittierungen, die die VPN-Appliances von Pulse Secure betrafen, bei Organisationen in den Bereichen Verteidigung, Regierung, Hightech, Transport und Finanzen in den USA und Europa stattfanden. Die Forscher sagen, dass die Spionageaktivitäten von UNC2630 und UNC2717 wichtige Prioritäten der chinesischen Regierung unterstützen. Viele kompromittierte Organisationen arbeiten in vertikalen Bereichen und Branchen, die mit den strategischen Zielen Pekings übereinstimmen, die im jüngsten 14.

Während die Forscher Beweise für Datendiebstahl bei vielen Organisationen gefunden haben, haben sie nicht direkt die Inszenierung oder Exfiltration von Daten durch chinesische Spionageakteure beobachtet, die sie als Verletzung des Obama-Xi-Abkommens betrachten, obwohl die Forscher sagten, dass chinesische Cyber-Spionage-Aktivitäten eine höhere Risikotoleranz gezeigt haben und weniger durch diplomatischen Druck als in der Vergangenheit eingeschränkt wurden.

Mit Patches und Abhilfemaßnahmen Ressourcen jetzt verfügbar, um Pulse Secure Software-Schwachstellen zu adressieren, gibt es kaum eine Entschuldigung für Untätigkeit, sagte Yaniv Bar-Dayan, Mitbegründer und CEO von Vulcan Cyber. Bar-Dayan sagte, Unternehmen sollten wissen, dass diese Schwachstellen wahrscheinlich in freier Wildbahn ausgenutzt werden.

“Ein Exploit dieser Schwachstelle könnte sensible, privilegierte Daten gefährden und ein Angreifer könnte die Kontrolle über das betroffene System übernehmen”, sagte er. “Sollten Teams zusätzliche Unterstützung benötigen, gibt es verfügbare Ressourcen und Best Practices, die sie befolgen können, um das Risiko von Unternehmens-VPNs zu mindern.

Dirk Schrader, Global Vice President, Security Research bei New Net Technologies, fügte hinzu, dass die technischen Aspekte der neuen FireEye-Mandiant-Forschung das perfekte Beispiel für die Schulung von Teams zur Cyber-Kill-Chain sind und wie diese im wirklichen Leben aussieht: Ziel suchen und kompromittieren, Basis aufbauen, von der Basis aus eskalieren, Wissen über das Ziel erweitern, während man sich bewegt, und eine versteckte Präsenz aufrechterhalten, um die Ziele zu erreichen.

“Die Tatsache, dass der Angriff auf Pulse Secure VPN-Geräte aus Sicht eines Angreifers immer noch erfolgreich genug ist, ist ein unangenehmer Beweis für die Rolle, die essenzielle Cyber-Hygiene für Unternehmen zu spielen scheint, die diese Geräte einsetzen”, so Schrader. “Kritische Kontrollen wie Schwachstellen-Scanning, Änderungskontrolle und Erkennung, wie von NIST und anderen empfohlen, würden es Angreifern schwerer machen. Da Regierungssysteme und die der Defense Industrial Base die meisten Ziele sind, scheint es, dass die Cybersecurity Maturity Model Certification (CMMC) auf Warp-Geschwindigkeit gehen sollte.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com