US-Regierung warnt vor China-Hackern

Laut der Cybersecurity and Infrastructure Security Agency (CISA) haben chinesische Hacker im vergangenen Jahr Netzwerke der US-Regierung auf das Vorhandensein beliebter Netzwerkgeräte gescannt und dann Exploits auf kürzlich aufgedeckte Schwachstellen genutzt, um in sensiblen Netzwerken Fuß zu fassen. Die Liste der ins Visier genommenen Geräte umfasst F5 Big-IP Load Balancer, Citrix- und Pulse Secure VPN-Appliances sowie Microsoft Exchange E-Mail-Server. Für jedes dieser Geräte wurden in den letzten 12 Monaten größere Schwachstellen öffentlich bekannt gegeben, wie z.B. CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 und CVE-2020-0688.

Laut einer heute vom CISA veröffentlichten Tabelle, in der die chinesischen Aktivitäten gegen diese Geräte zusammengefasst sind, waren einige Angriffe erfolgreich und ermöglichten es chinesischen Hackern, in Bundesnetzen Fuß zu fassen. Diese Angriffe sind nicht neu. ZDNet berichtete im vergangenen Jahr, dass Hacker des chinesischen Staates weniger als einen Monat, nachdem die Schwachstellen bekannt wurden, auf Pulse Secure- und Fortinet-VPN-Server gezielt hatten.

Darüber hinaus sind chinesische Hacker nicht die einzigen, die diese speziellen Netzwerkgeräte ins Visier genommen haben. Die oben aufgeführten Geräte wurden auch von iranischen staatlichen Akteuren ins Visier genommen, wie aus einem Bericht des privaten Cyber-Sicherheitssektors und einer im vergangenen Monat vom FBI veröffentlichten Cyber-Sicherheitswarnung hervorgeht.

Eine iranische Gruppe hat diese Art von Geräten massenhaft kompromittiert und dann Zugang zu anderen iranischen Gruppen gewährt, so dass diese die Netzwerke, die sie kompromittieren wollten, für geheimdienstliche Sammelaktionen auswählen konnten. Die kompromittierten Geräte, die nicht ausgewählt wurden, wurden einem Crowdstrike-Bericht zufolge später in unterirdischen Hacking-Foren zum Verkauf angeboten.

Der CISA-Alarm ruft den US-Privatsektor und Regierungsbehörden dazu auf, F5, Citrix, Pulse Secure und Microsoft Exchange-Geräte zu patchen. Die Warnung warnt jedoch auch davor, dass chinesische Hacker ein breites Spektrum anderer Einbruchsmethoden anwenden.

Dazu gehören auch die Verwendung von Spear-Phishing-E-Mails – ein klassischer Angriff chinesischer staatlicher Akteure – und der Einsatz von Brute-Force-Angriffen, die sich schwache oder voreingestellte Zugangsdaten zunutze machen.

Wenn chinesische Hacker erst einmal in zielgerichtete Netzwerke eingedrungen sind, setzen sie oft auch kommerzielle und Open-Source-Tools ein, um sich lateral über Netzwerke zu bewegen und Daten auszulesen. Dazu gehört auch der Einsatz von Penetrationstest-Tools wie Cobalt Strike und Mimikatz.

Wenn Angriffe auf öffentlich zugängliche Web-Systeme wie VPNs, Web- und E-Mail-Server abzielen, hat der CISA nach eigenen Angaben häufig Hacker aus dem chinesischen Staat entdeckt, die die Web-Shell China Chopper einsetzen, ein gängiges Tool, das sie seit fast einem Jahrzehnt verwenden.

CISA-Beamte empfehlen, dass Sicherheitsteams in Privatunternehmen, im Privatsektor und in Regierungsbehörden den Bericht lesen, die gemeinsamen Taktiken, Techniken und Verfahren (TTPs) chinesischer staatlicher Akteure zur Kenntnis nehmen, Geräte patchen und Erkennungsregeln entsprechend einsetzen.