Chinesische Spionagegruppe UNC215 zielt auf israelische Regierungsnetzwerke

  • Die chinesische Spionagegruppe UNC215 nutzte Remote-Desktop-Protokolle (RDP), um mit gestohlenen Zugangsdaten von vertrauenswürdigen Dritten auf ein israelisches Regierungsnetzwerk zuzugreifen, wie heute veröffentlichte Untersuchungen zeigen.

    Mandiant, ein Teil des Cybersicherheitsunternehmens FireEye, analysierte die Daten, die aus den Telemetriedaten und den von israelischen Stellen in Zusammenarbeit mit den Behörden übermittelten Informationen gewonnen wurden. Die Daten zeigen, dass es seit Januar 2019 mehrere gleichzeitige Angriffe auf israelische Regierungseinrichtungen, IT-Anbieter und Telekommunikationsunternehmen gab.

    FireEye hat die Ergebnisse in einem Blog veröffentlicht, in dem das Vorgehen und die operativen Taktiken, Techniken und Verfahren (TTPs) von UNC215 nach der Kompromittierung detailliert beschrieben werden. Die Gruppe hat Privatunternehmen, Regierungen und verschiedene Organisationen im Nahen Osten, Europa, Asien und Nordamerika angegriffen.

    Die Untersuchung von Mandiant folgt auf eine gemeinsame Erklärung von Regierungen in Nordamerika, Europa, Asien und Organisationen wie der NATO und der EU vom 19. Juli 2021. In dieser Erklärung wurde die weit verbreitete Cyberspionage im Auftrag der chinesischen Regierung verurteilt.

    “Diese koordinierten Erklärungen, in denen der chinesischen Regierung anhaltende Cyberspionageaktivitäten zugeschrieben werden, bestätigen unsere langjährige Berichterstattung über chinesische Bedrohungsakteure, die Privatunternehmen, Regierungen und verschiedene Organisationen auf der ganzen Welt ins Visier nehmen, und dieser Blogbeitrag zeigt eine weitere Region, in der chinesische Cyberspionage aktiv ist”, heißt es in dem Blogbeitrag.

    Die Gruppe führte FOCUSFJORD aus der Ferne auf ihr Hauptziel aus. Seit 2019 nutzt UNC215 die Microsoft SharePoint-Schwachstelle CVE-2019-0604 aus, um Web-Shells und FOCUSFJORD-Nutzdaten zu installieren. Manidant sagt, dass UNC215 trotz der Zusammenarbeit mit den israelischen Verteidigungsbehörden und der Telemetrie von FireEye TTPs verwendet, um “die Zuordnung und Erkennung zu verhindern, die operative Sicherheit aufrechtzuerhalten, falsche Flaggen zu verwenden und vertrauenswürdige Beziehungen für laterale Bewegungen zu nutzen”.

    “UNC215 nahm technische Änderungen an ihren Tools vor, um den ausgehenden Netzwerkverkehr zu begrenzen, und nutzte andere Opfernetzwerke als Proxy für ihre C2-Anweisungen, wahrscheinlich um das Entdeckungsrisiko zu minimieren und sich in den normalen Netzwerkverkehr einzufügen”, heißt es in dem Blogbeitrag.

    Das Team fand auch ein Beispiel für eine neue Malware (MD5:625dd9048e3289f19670896cf5bca7d8), die den gleichen Code wie FOCUSFJORD enthält. Die Malware unterscheidet sich von dieser und enthält nur Funktionen zur Weiterleitung der Kommunikation zwischen einer anderen FOCUSFJORD-Instanz und einem C2-Server, der nach Ansicht des Mandiant-Teams bei der Operation verwendet wurde, um die Wahrscheinlichkeit einer Entdeckung zu verringern.

    “UNC215 hat Organisationen in den Bereichen Regierung, Technologie, Telekommunikation, Verteidigung, Finanzen, Unterhaltung und Gesundheitswesen kompromittiert”, erklärt das Mandiant Israel Research Team, U.S. Threat Intel Team, das den Blogbeitrag verfasst hat. “Die Gruppe hat es auf Daten und Organisationen abgesehen, die für Pekings finanzielle, diplomatische und strategische Ziele von großem Interesse sind.” In dem Blogbeitrag heißt es weiter, dass die Aktivitäten “Chinas beständiges strategisches Interesse am Nahen Osten” vor dem Hintergrund “Chinas milliardenschwerer Investitionen im Zusammenhang mit der Belt and Road Initiative (BRI) und seinem Interesse an Israels robustem Technologiesektor” zeigen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com