CISA enthüllt die Taktik chinesischer Hacker, die auf US-Telekommunikations- und Netzwerkdienstleister abzielen

  • Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine neue Mitteilung veröffentlicht, in der sie öffentliche und private Organisationen vor staatlich gesponserten Cyberangriffen auf US-Firmen in China warnt.

    Das Dokument, das gemeinsam von der CISA, der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) veröffentlicht wurde, beschreibt eine Reihe gemeinsamer Schwachstellen und Gefährdungen (CVEs) im Zusammenhang mit Netzwerkgeräten, die seit 2020 regelmäßig von den ungenannten Cyber-Akteuren ausgenutzt worden wären.

    Zu diesen Geräten gehörten SOHO-Router (Small Office/Home Office) und NAS-Geräte (Network Attached Storage), die ausgenutzt wurden, um umfassenden und/oder dauerhaften Zugang zu den Netzwerken von Unternehmen zu erlangen und als Command-and-Control-Taktik (C2), um andere Ziele anzusteuern.

    Nachdem sie sich erfolgreich Zugang zu den Netzwerkgeräten der Organisationen verschafft hatten, führten die Akteure Router-Befehle aus, um den Datenverkehr aus dem Netzwerk heraus zu einer von den Akteuren kontrollierten Infrastruktur zu leiten, zu erfassen und zu exfiltrieren.

    Was die zur Durchführung der Aktionen eingesetzten Tools betrifft, so hätten die Cyber-Akteure eine Mischung aus maßgeschneiderten und öffentlich verfügbaren Tools verwendet, insbesondere solche, die in der Netzwerkumgebung beheimatet sind, um ihre Aktivitäten zu verschleiern und sich in die normalen Aktivitäten eines Netzwerks einzufügen.

    Dem Bericht zufolge haben die Cyber-Akteure ihre Taktik zur Umgehung von Verteidigungsmaßnahmen ständig weiterentwickelt und angepasst, indem sie ihre Infrastruktur und ihr Toolset unmittelbar nach der Veröffentlichung von Informationen über ihre laufenden Kampagnen veränderten.

    Außerdem hätten sie häufig lokale Protokolldateien geändert und/oder entfernt, um Beweise für ihre Aktivitäten zu beseitigen und einer Entdeckung zu entgehen.

    Eine vollständige Liste der oben genannten CVEs und Netzwerkbefehle, die während der Cyberangriffskampagne verwendet wurden, finden Sie im Originaltext der Empfehlung hier.

    Um die in der Empfehlung aufgeführten Schwachstellen zu entschärfen, sollten Unternehmen laut CISA alle verfügbaren Patches auf ihre Systeme aufspielen, veraltete Infrastrukturen ersetzen und ein zentrales Patch-Management-Programm einführen.

    Die Empfehlung kommt wenige Tage, nachdem die Agentur eine gemeinsame Erklärung mit dem Department of Energy (DoE) herausgegeben hat, in der vor Angriffen auf über das Internet angeschlossene unterbrechungsfreie Stromversorgungsgeräte gewarnt wird.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com