Vier Monate andauernder Cyberangriff auf US-Firma enthüllt hochentwickelte Bedrohung durch chinesische Hacker
Ein kürzlich aufgedeckter Cyberangriff hat eine hochentwickelte Operation ans Licht gebracht, die sich gegen eine große US-Organisation richtete. Die Beweise deuten darauf hin, dass staatlich geförderte Hacker aus China dahinter steckten. Dieser alarmierende Einbruch, der in einem Bericht des Broadcom-Konzerns Symantec detailliert beschrieben wird, erstreckte sich dieses Jahr über mindestens vier Monate und begann im April und möglicherweise schon früher. Umfang und Methoden des Angriffs unterstreichen die sich entwickelnden Strategien von Cyber-Gegnern und die Risiken, denen kritische Organisationen weltweit ausgesetzt sind.
Inhaltsverzeichnis
Ausgefeilte Taktiken und Tools decken komplexe Bedrohungen auf
Symantec entdeckte die ersten Anzeichen des Angriffs am 11. April 2024 und stellte fest, dass der Angriff bis August andauerte. Während dieser Zeit bewegten sich die Angreifer seitlich durch das Netzwerk des Opfers und kompromittierten zahlreiche Rechner. Einige der Zielsysteme waren Microsoft Exchange Server, was darauf schließen lässt, dass die Angreifer versuchten, durch den Zugriff auf vertrauliche E-Mail-Daten Informationen zu sammeln.
Die während der Kampagne eingesetzten Exfiltrationstools bestätigen zusätzlich, dass wertvolle Informationen aus der Infrastruktur des Opfers extrahiert wurden. Die Hacker nutzten eine Kombination aus Open-Source-Tools und integrierten Windows-Dienstprogrammen, um ihren Angriff voranzutreiben. Tools wie FileZilla, Impacket und PSCP wurden neben Living-off-the-Land-Techniken eingesetzt, die Windows Management Instrumentation (WMI), PsExec und PowerShell nutzten, um bösartige Befehle auszuführen und sich in legitime Netzwerkaktivitäten einzufügen.
Chinas Rolle und der Einsatz von Cyber-Spionagetechniken
Obwohl der Name der angegriffenen Organisation nicht bekannt gegeben wurde, untermauern ihre bedeutenden Aktivitäten in China den Verdacht, dass die Angreifer mit staatlich geförderten chinesischen Gruppen in Verbindung standen. Der Cyberangriff stützte sich stark auf DLL-Sideloading, eine typische Taktik chinesischer Hackerteams. Artefakte aus dem Einbruch stimmen mit denen überein, die bei „Crimson Palace“, einer früheren staatlich unterstützten Operation, beobachtet wurden. Darüber hinaus war diese Organisation bereits 2023 Ziel einer Gruppe namens Daggerfly, auch bekannt als Bronze Highland, Evasive Panda und StormBamboo.
Weitergehende Auswirkungen auf die Cybersicherheit
Dieser Verstoß spiegelt allgemeinere Trends innerhalb des chinesischen Cyber-Offensiv-Ökosystems wider, das Orange Cyberdefense im Detail analysiert hat. Bei staatlich geförderten chinesischen Operationen verschwimmen oft die Grenzen zwischen öffentlichen und privaten Einrichtungen, indem Universitäten für Spitzenforschung genutzt und Vertragspartner für die Durchführung von Angriffen eingesetzt werden. Scheinfirmen werden häufig von Personen mit Verbindungen zum chinesischen Militär oder Geheimdienst gegründet, um die Herkunft zu verschleiern, digitale Infrastruktur zu beschaffen und Hacker zu rekrutieren, ohne Verdacht zu erregen.
Diese Ergebnisse unterstreichen die hartnäckige und hochentwickelte Natur chinesischer Cyber-Operationen. Die Kampagne gegen dieses US-Unternehmen ist eine deutliche Erinnerung an die sich entwickelnde Bedrohungslandschaft und die Bedeutung robuster Cybersicherheitsabwehrmaßnahmen zum Schutz kritischer Vermögenswerte vor staatlichen Gegnern.