APT30: FireEye deckt angeblich von China gestützte Spionagekampagne auf

FireEye hat nach eigenen Angaben eine neue Cyberspionage-Kampagne (PDF) aufgedeckt, die seit 2005 eine „fortgeschrittene, andauernde Bedrohung“ (Advanced Persistent Threat, APT) darstellen soll. Demnach soll eine APT30 genannte Gruppe mit der Unterstützung Chinas gegen Regierungen, Firmen, Medien und Journalisten in Südostasien vorgehen. Ihnen gemeinsam ist offenbar, dass sie über politische, wirtschaftliche und militärische Informationen verfügen, die für die chinesische Regierung relevant sein könnten.

Spuren der Angriffe entdeckte FireEye in Indien, Malaysia, Vietnam, Thailand, Nepal, Singapur, Indonesien, Südkorea und den Philippinen. Die erbeuteten Daten gäben auch Einblicke in Territorialkonflikte sowie in das Ansehen der Kommunistischen Partei Chinas in der Region.

Die Gruppe bedient sich FireEye zufolge einer Vielzahl von Werkzeugen, darunter Hintertüren und Downloader. Andere von ihr verwendete Komponenten sind demnach in der Lage, USB-Sticks und andere externe Laufwerke zu infizieren und Dateien aus drahtlosen Netzwerken zu stehlen. Einige Schadsoftware, die bei den Angriffen zum Einsatz kam, soll sich zudem auch über lange Zeiträume auf dem System eines Opfers verstecken können.

Eine weitere Besonderheit sei ein zweistufiges Steuerungssystem, so FireEye weiter. Der Rechner eines Opfers werde von einem ersten Befehlsserver kontaktiert, um zu entscheiden, ob anschließend eine Verbindung zum Hauptserver der Angreifer aufgebaut wird. Der Controller selbst verfüge über eine grafische Benutzeroberfläche, die eine Priorisierung der Hosts und Benachrichtigungen über den Online-Status infizierter Rechner erlaube.

„APT30 verwendet seit ihren Anfangstagen fast unverändert die gleichen Tools und Strategien, was für APT-Gruppierungen ungewöhnlich ist. In der Regel ändern sie ihr Vorgehen von Zeit zu Zeit, um einer Entdeckung vorzubeugen“, heißt es in einer Pressemitteilung von FireEye. Trotzdem sei es der Gruppe gelungen, über einen sehr langen Zeitraum erfolgreich zu operieren. Das sei ein Zeichen dafür, dass die Opfer „nicht realisieren, dass so etwas passiert.“

„Gruppierungen wie APT30 verdeutlichen, dass staatlich finanzierte Cyberspionage eine große Bandbreite an öffentlichen Einrichtungen und Unternehmen weltweit betreffen kann“, sagte Dan McWhorter, Vice President Threat Intelligence bei FireEye. „Aufgrund der Ähnlichkeit der Angriffe und des Erfolgs von APT30 in Südostasien und Indien, werden die von uns veröffentlichten Bedrohungsdaten Behörden und Unternehmen in der Region schnell in die Lage versetzen können, die Angriffe der Gruppierung zu entdecken, ihnen vorzubeugen, sie zu analysieren und abzuwehren.“

Jedes Unternehmen und jede öffentliche Einrichtung sei ein potenzielles Ziel für Cyberangriffe, ergänzte Frank Kölmel, Vice President für Zentral- und Osteuropa bei FireEye. „Es gibt immer jemanden, für den interne Daten und Informationen von Nutzen sind.“ Südostasien ist laut FireEye sogar eine der Regionen mit der größten Zahl zielgerichteter Angriffe weltweit.

[mit Material von Aimee Chanthadavong, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.