US-Behörden warnen vor chinesischen Hackern, die es auf Telekommunikations- und Netzwerkdienstleister abgesehen haben

  • US-Cybersicherheits- und Nachrichtendienste warnen seit mindestens 2020 vor in China ansässigen, staatlich geförderten Cyber-Akteuren, die Schwachstellen in Netzwerken ausnutzen, um öffentliche und private Organisationen auszuspionieren.

    Die weit verbreiteten Einbruchskampagnen zielen darauf ab, öffentlich bekannte Sicherheitslücken in Netzwerkgeräten wie SOHO-Routern (Small Office/Home Office) und NAS-Geräten (Network Attached Storage) auszunutzen, um tieferen Zugang zu den Netzwerken der Opfer zu erlangen.

    Darüber hinaus nutzten die Akteure diese kompromittierten Geräte zur Weiterleitung von Command-and-Control (C2)-Verkehr, um in großem Umfang in andere Ziele einzubrechen, so die U.S. National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) in einer gemeinsamen Mitteilung.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEilX32lo0OCGWeSbJv95Zf70lCkWkfzb8dPvmvy_wrP0Hgnh5d9gGbYi-6ImIAbGCkRGTtITjAeKJPkl0I7q0IXug69RN8IWVNGPEktj-IX9lxDZFzTBQ6hnLwc6ybXsKFOWnlipte1yPfbNnP1U6oSKedXQMXzkrBbymZdpvhtfp_hq1d4LaZVE1yGjg/s1600/GitHub-ads.png]

    Es ist bekannt, dass die Täter nicht nur ihre Taktik als Reaktion auf öffentliche Enthüllungen ändern, sondern auch eine Mischung aus Open-Source- und benutzerdefinierten Tools zur Aufklärung und zum Scannen von Schwachstellen sowie zur Verschleierung und Verschleierung ihrer Aktivitäten einsetzen.

    Die Angriffe selbst werden durch den Zugriff auf kompromittierte Server, die von den Behörden als „Hop-Points“ bezeichnet werden, von in China ansässigen IP-Adressen aus erleichtert, die dazu verwendet werden, C2-Domains und E-Mail-Konten zu hosten und mit den Zielnetzwerken zu kommunizieren.

    „Cyber-Akteure nutzen diese Hop-Points als Verschleierungstechnik, wenn sie mit den Netzwerken der Opfer interagieren“, stellten die Behörden fest und beschrieben das Muster des Gegners, Schwachstellen in Telekommunikationsunternehmen und Netzwerkdienstleistern als Waffe einzusetzen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEg-JaHtOelkNBcZRuoDLFOhjQC-FI9CTPaQupli38VCC8wmrA5Hi8xmlb8jbS1xLoJ4Wg-IAWd-r2EmolicUyK2G8Y3LOuMuoYWBQMCRyJFIs6oHrpaBSzYshPnYPOcIrJdPMYlnsEop-ORov6M0LuV-q7A5X1YTSMTDIQTDG8RephTTJdVna-1yjBf/s728-e100/network.jpg]

    Nachdem die Angreifer über eine ungepatchte Internetverbindung in das Netzwerk eingedrungen sind, wurden sie dabei beobachtet, wie sie sich die Zugangsdaten für Benutzer- und Administratorkonten beschafften und anschließend Router-Befehle ausführten, um den Datenverkehr heimlich aus dem Netzwerk zu einer von den Angreifern kontrollierten Infrastruktur zu leiten, abzufangen und zu exfiltrieren“.

    Nicht zuletzt änderten oder entfernten die Angreifer auch lokale Protokolldateien, um Beweise für ihre Aktivitäten zu löschen und so ihre Anwesenheit weiter zu verschleiern und einer Entdeckung zu entgehen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Behörden nannten keinen bestimmten Bedrohungsakteur, wiesen aber darauf hin, dass die Ergebnisse die Geschichte der aggressiven Angriffe chinesischer staatlicher Gruppen auf kritische Infrastrukturen widerspiegeln, um sensible Daten, neue Schlüsseltechnologien, geistiges Eigentum und personenbezogene Informationen zu stehlen.

    Die Enthüllung erfolgte weniger als einen Monat, nachdem die Cybersicherheitsbehörden die am häufigsten genutzten Erstzugriffsvektoren aufgedeckt hatten, um in Ziele einzudringen, darunter falsch konfigurierte Server, schwache Passwortkontrollen, ungepatchte Software und das Versagen, Phishing-Versuche zu blockieren.

    „Unternehmen können die in dieser Empfehlung aufgeführten Schwachstellen entschärfen, indem sie die verfügbaren Patches auf ihre Systeme aufspielen, veraltete Infrastrukturen ersetzen und ein zentralisiertes Patch-Management-Programm einführen“, so die Behörden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com