Experten glauben, dass chinesische Hacker hinter mehreren Angriffen auf Israel stecken

  • Eine chinesische Cyberspionage-Gruppe wird mit einer Reihe von Einbrüchen in Verbindung gebracht, die mindestens seit 2019 auf israelische Regierungseinrichtungen, IT-Anbieter und Telekommunikationsunternehmen abzielen.

    Die Bedrohungsdatenbank Mandiant von FireEye führt die Kampagne auf einen Betreiber zurück, den sie als “UNC215” bezeichnet, eine chinesische Spionageoperation, die bereits seit 2014 Organisationen auf der ganzen Welt ins Visier genommen haben soll, und bringt die Gruppe mit “geringem Vertrauen” mit einer fortgeschrittenen anhaltenden Bedrohung (APT) in Verbindung, die allgemein als APT27, Emissary Panda oder Iron Tiger bekannt ist.

    “UNC215 hat Organisationen in den Bereichen Regierung, Technologie, Telekommunikation, Verteidigung, Finanzen, Unterhaltung und Gesundheitswesen kompromittiert”, heißt es in einem heute veröffentlichten Bericht der israelischen und US-amerikanischen Bedrohungsanalyse-Teams von FireEye.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    “Die Gruppe hat es auf Daten und Organisationen abgesehen, die für die finanziellen, diplomatischen und strategischen Ziele Pekings von großem Interesse sind”, so die Ergebnisse, die den unermüdlichen Appetit der Hackergruppen auf verteidigungsrelevante Geheimnisse widerspiegeln.

    Frühe Angriffe des Kollektivs sollen eine Microsoft SharePoint-Schwachstelle (CVE-2019-0604) ausgenutzt haben, um Regierungs- und akademische Netzwerke zu infiltrieren und Web-Shells und FOCUSFJORD-Nutzlasten auf Ziele im Nahen Osten und in Zentralasien zu verteilen. FOCUSFJORD, auch HyperSSL und Sysupdate genannt, wurde erstmals 2018 von der NCC Group beschrieben und ist eine Hintertür, die Teil eines Arsenals von Tools ist, die vom Emissary Panda-Akteur genutzt werden.

    [Blocked Image: https://thehackernews.com/images/-2c1Jz5J65vI/YRJ7A9dngII/AAAAAAAADfQ/KZ0_5jF33j849L6bHA21vc8l-Mq7Do0AACLcBGAsYHQ/s0/chinese-hackers.jpg]

    Sobald der Angreifer Fuß gefasst hat, folgt er einem etablierten Muster, bei dem er Anmeldeinformationen sammelt und interne Erkundungen durchführt, um die wichtigsten Systeme im Zielnetzwerk zu identifizieren, bevor er seitliche Bewegungen durchführt, um ein benutzerdefiniertes Implantat namens HyperBro zu installieren, das über Funktionen wie Bildschirmaufzeichnung und Keylogging verfügt.

    In jeder Phase des Angriffs wurden bemerkenswerte Anstrengungen unternommen, um die Entdeckung zu erschweren, indem alle Spuren forensischer Artefakte von den kompromittierten Rechnern entfernt wurden, während gleichzeitig die FOCUSFJORD-Backdoor als Reaktion auf Berichte von Sicherheitsanbietern verbessert wurde, die Befehls- und Kontrollinfrastruktur (C2) verdeckt wurde, indem andere Opfernetzwerke als Proxy für die C2-Befehle verwendet wurden, und sogar falsche Flaggen eingebaut wurden, wie z. B. die Bereitstellung einer Web-Shell namens SEASHARPEE, die mit iranischen APT-Gruppen in Verbindung gebracht wird, um die Zuordnung zu verschleiern.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Darüber hinaus verschaffte sich UNC215 bei einem Angriff auf ein israelisches Regierungsnetzwerk im Jahr 2019 über Remote-Desktop-Protokoll-Verbindungen (RDP) von einem vertrauenswürdigen Dritten mit gestohlenen Anmeldedaten Zugang zum Hauptziel und missbrauchte diesen, um die FOCUSFJORD-Malware zu installieren und aus der Ferne auszuführen, so das Cybersicherheitsunternehmen.

    “Die Aktivität […] beweist Chinas beständiges strategisches Interesse am Nahen Osten”, so die Forscher. “Diese Cyberspionage-Aktivitäten finden vor dem Hintergrund von Chinas milliardenschweren Investitionen im Zusammenhang mit der Belt and Road Initiative (BRI) und seinem Interesse an Israels robustem Technologiesektor statt.

    “China hat zahlreiche Einbruchskampagnen entlang der BRI-Route durchgeführt, um potenzielle Hindernisse – politischer, wirtschaftlicher und sicherheitspolitischer Art – zu überwachen, und wir gehen davon aus, dass UNC215 kurz- und mittelfristig weiterhin Regierungen und Organisationen ins Visier nehmen wird, die an diesen kritischen Infrastrukturprojekten in Israel und im Nahen Osten beteiligt sind”, so die Teams weiter.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com