Unternehmens- und Cloud-Umgebungen werden seit 2019 von russischen Hackern belagert

  • Der russische Präsident Wladimir Putin im deutschen Bundeskanzleramt 2016 in Berlin, Deutschland. Fancy Bear scheint in der Kampagne keine neuen Zero-Day-Exploits zu nutzen, sondern verlässt sich auf bewährte Taktiken wie Passwort-Spraying und nutzt öffentlich bekannte (aber ungepatchte) Schwachstellen aus, die beispielsweise Microsoft Exchange betreffen. (Adam Berry/Getty Images)

    In einer gemeinsamen Warnung der USA und Großbritanniens wird davor gewarnt, dass Fancy Bear, eine Hackergruppe, die mit dem russischen Hauptgeheimdienst GRU verbunden ist, seit zwei Jahren eine heimliche Spionagekampagne durchführt, die mit Brute-Force-Angriffen auf globale Unternehmens- und Cloud-Umgebungen abzielt.

    Laut der Warnung – herausgegeben von der Nationalen Sicherheitsbehörde der USA, der Agentur für Cybersicherheit und Infrastruktursicherheit und dem FBI sowie dem Nationalen Cybersicherheitszentrum Großbritanniens – geht die Kampagne mindestens bis Mitte 2019 zurück und hat Hunderte von US-amerikanischen und ausländischen Organisationen auf der ganzen Welt ins Visier genommen, mit einem besonderen Fokus auf die USA und Europa.

    “Zu den Zielen gehören Regierung und Militär, Verteidigungsunternehmen, Energieunternehmen, Hochschulbildung, Logistikunternehmen, Anwaltskanzleien, Medienunternehmen, politische Berater oder politische Parteien und Think Tanks”, sagte die NSA in einer Ankündigung.

    Ein begleitendes technisches Advisory liefert weitere Details und behauptet, dass die Gruppe einen Kubernetes-Cluster verwendet hat, um “weit verbreitete, verteilte und anonymisierte” Brute-Force-Angriffe gegen Organisationen zu versuchen, um Zugriff auf geschützte Daten wie E-Mails zu erhalten, sowie Account-Anmeldeinformationen, die für den Zugriff, die Persistenz und andere Zwecke in zukünftigen Hacks verwendet werden könnten. Diese Zugangsdaten wurden verwendet, um ungepatchte Microsoft Exchange-Server auszunutzen, die immer noch anfällig für schädliche Schwachstellen bei der Remotecodeausführung sind, die Anfang des Jahres entdeckt wurden. Die Angreifer konzentrierten sich auch in erheblichem Maße auf Unternehmen, die Microsoft Office365-Cloud-Dienste nutzen, obwohl auch andere Cloud- und On-Premise-E-Mail-Server nicht sicher waren.

    Fancy Bear scheint in der Kampagne keine neuen Zero-Day-Exploits zu nutzen, sondern verlässt sich auf bewährte Taktiken wie Passwort-Spraying und nutzt öffentlich bekannte (aber ungepatchte) Schwachstellen aus, die beispielsweise Microsoft Exchange betreffen.

    Während die Gruppe eine Reihe von Verschleierungs- und Stealth-Taktiken verwendet, sagte die NSA, dass “viele Erkennungsmöglichkeiten bestehen bleiben, um den bösartigen Akteur zu identifizieren.” Der Kubernetes-Cluster, der zur Durchführung der Angriffe verwendet wurde, nutzte den TOR-Onion-Router, um seinen wahren Standort und seine Metadaten zu verbergen, und nutzte außerdem kommerzielle VPN-Dienste wie CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark und WorldVPN. Das Advisory identifiziert mindestens 10 verschiedene Knoten, die mit den Brute-Force-Angriffen des Clusters in Verbindung gebracht werden.

    “Diese zweijährige Brute-Force-Kampagne ist wahrscheinlich noch im Gange – Sie können sie durch starke Authentifizierungsmaßnahmen abwehren”, sagte Rob Joyce, der Direktor für Cybersicherheit der NSA, nachdem die Warnung veröffentlicht wurde. “Das Hinzufügen von Multi-Faktor-Authentifizierung wird einen langen Weg gehen, um die Bedrohung zu beseitigen.”

    Zusätzlich zur Multi-Faktor-Authentifizierung empfehlen die Behörden auch die Implementierung von Time-Out- oder Lock-Out-Funktionen für die Passwort-Authentifizierung, die Überprüfung aktueller Passwörter mit bestehenden Passwort-Wörterbüchern, um schwächere Kandidaten auszusortieren, die Änderung von Standard-Anmeldedaten und die Verwendung automatisierter Tools zur Überprüfung von Zugriffsprotokollen auf verdächtiges oder bösartiges Verhalten. Größere Sicherheitsüberholungen wie die Implementierung von Netzwerksegmentierung und die Einführung einer Zero-Trust-Architektur wurden ebenfalls empfohlen.

    John Hultquist, Vice President of Intelligence bei Mandiant, sagte in einer Erklärung, dass die russische Hackergruppe dafür bekannt ist, Politiker, militärische Einrichtungen und deren Unterstützungsstrukturen ins Visier zu nehmen, um Informationen zu sammeln. Hultquist und andere Threat Intelligence-Experten sagen, dass diese Art von digitaler Spionage, obwohl schädlich, unter Ländern üblich ist und unter die traditionelle Definition von Spionage fällt.

    “Das Brot und Butter dieser Gruppe ist das routinemäßige Sammeln von Daten gegen politische Entscheidungsträger, Diplomaten, das Militär und die Verteidigungsindustrie, und diese Art von Vorfällen sind nicht unbedingt Vorboten von Operationen wie Hack- und Leak-Kampagnen”, so Hultquist. “Trotz unserer besten Bemühungen ist es sehr unwahrscheinlich, dass wir Moskau jemals vom Spionieren abhalten können.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com