Mehrere chinesische APTs errichten wichtige Brückenköpfe innerhalb sensibler Infrastruktur
Dan Goodin - Aug 1, 2023 12:29 pm UTC
Hacker-Teams, die für die chinesische Regierung arbeiten, haben es sich zum Ziel gesetzt, in die entlegensten Bereiche sensibler Infrastruktur vorzudringen, von denen ein Großteil den USA gehört, und dort, wenn möglich, dauerhafte Präsenzen aufzubauen. In den letzten zwei Jahren haben sie einige Siege errungen, die die nationale Sicherheit ernsthaft gefährden könnten.
Wenn das vorher noch nicht klar war: Drei in der vergangenen Woche veröffentlichte Berichte machen es deutlich. In einer von der Sicherheitsfirma Kaspersky veröffentlichten Studie beschreiben Forscher eine Reihe fortschrittlicher Spionagetools, die in den letzten zwei Jahren von einer Gruppe verwendet wurden, um einen „permanenten Kanal für die Datenexfiltration“ innerhalb der industriellen Infrastruktur einzurichten. In einem zweiten am Sonntag von der New York Times veröffentlichten Bericht heißt es, dass eine andere Gruppe, die für die chinesische Regierung arbeitet, Schadsoftware versteckt hat, die Störungen tief in der kritischen Infrastruktur verursachen könnte, die von US-Militärstützpunkten auf der ganzen Welt genutzt wird. Diese Berichte kamen neun Tage, nachdem Microsoft einen Verstoß gegen die E-Mail-Konten von 25 seiner Cloud-Kunden, darunter das Außen- und das Handelsministerium, aufgedeckt hatte.
Die Operationen scheinen von verschiedenen Abteilungen innerhalb der chinesischen Regierung auszugehen und auf verschiedene Teile der US-amerikanischen und europäischen Infrastruktur abzuzielen. Die erste Gruppe, die unter dem Namen Zirconium verfolgt wird, ist darauf aus, Daten von den Zielen zu stehlen, die sie infiziert. Eine andere Gruppe, bekannt als Volt Typhoon, strebt laut NYT danach, langfristig die Fähigkeit zu erlangen, innerhalb von US-Stützpunkten Störungen zu verursachen, möglicherweise um sie im Falle eines bewaffneten Konflikts einzusetzen. In beiden Fällen versuchen die Gruppen, dauerhafte Brückenköpfe zu schaffen, an denen sie sich heimlich niederlassen können.
In einem vor zwei Wochen (Teil 1) und Montag (Teil 2) von Kaspersky veröffentlichten Bericht wurden 15 Implantate aufgeführt, die Zirkonium eine ganze Reihe fortschrittlicher Fähigkeiten verleihen. Die Fähigkeiten der Implantate reichen von Stufe eins, dauerhaftem Fernzugriff auf gehackte Maschinen, über eine zweite Stufe, die Daten von diesen Maschinen sammelt – und allen Air-Gap-Geräten, mit denen sie verbunden sind – bis hin zu einer dritten Stufe, die zum Hochladen gestohlener Daten auf Zirconium-gesteuerte Geräte dient Befehlsserver.
Zirconium ist eine Hackergruppe, die für die Volksrepublik China arbeitet. Die Einheit zielt traditionell auf ein breites Spektrum von Industrie- und Informationsunternehmen ab, darunter Regierungs-, Finanz-, Luft- und Raumfahrt- und Verteidigungsorganisationen sowie Unternehmen in der Technologie-, Bau-, Ingenieur-, Telekommunikations-, Medien- und Versicherungsbranche. Zirconium, das auch unter den Namen APt31 und Judgement Panda verfolgt wird, ist ein Beispiel für eine APT (Advanced Persistent Threat), eine Einheit, die für, im Auftrag oder als Teil eines Nationalstaats hackt.
Der Kaspersky-Bericht zeigt, dass Zirconium etwa zur gleichen Zeit wie der groß angelegte Router-Angriff mit einem weiteren großen Unterfangen beschäftigt war – einem, bei dem es darum ging, mithilfe der 15 Implantate vertrauliche Informationen aufzuspüren, die tief in den Zielnetzwerken befestigt waren. Die Installation der Schadsoftware erfolgt typischerweise durch sogenannte DLL-Hijackings. Diese Art von Angriffen findet Möglichkeiten, Schadcode in die DLL-Dateien einzuschleusen, die verschiedene Windows-Prozesse zum Laufen bringen. Die Malware verwischte ihre Spuren, indem sie den RC4-Algorithmus zur Verschlüsselung der Daten bis kurz vor dem Einschleusen nutzte.
Laut Kaspersky kann eine Wurmkomponente der Malware Wechseldatenträger infizieren, die, wenn sie an ein Air-Gap-Gerät angeschlossen werden, dort gespeicherte sensible Daten finden und kopieren. Wenn es wieder an einen mit dem Internet verbundenen Computer angeschlossen wird, schreibt das infizierte Festplattengerät es dort.
„Während der Untersuchung beobachteten die Forscher von Kaspersky die bewussten Bemühungen der Bedrohungsakteure, sich der Erkennung und Analyse zu entziehen“, schrieb Kaspersky. „Sie erreichten dies, indem sie die Nutzlast in verschlüsselter Form in separaten Binärdatendateien versteckten und bösartigen Code durch DLL-Hijacking und eine Kette von Speicherinjektionen in den Speicher legitimer Anwendungen einbetteten.“