US-Regierung warnt vor China-Hackern

Laut der Cybersecurity and Infrastructure Security Agency (CISA) haben chinesische Hacker im vergangenen Jahr Netzwerke der US-Regierung auf das Vorhandensein beliebter Netzwerkgeräte gescannt und dann Exploits auf kürzlich aufgedeckte Schwachstellen genutzt, um in sensiblen Netzwerken Fuß zu fassen. Die Liste der ins Visier genommenen Geräte umfasst F5 Big-IP Load Balancer, Citrix- und Pulse Secure VPN-Appliances sowie Microsoft Exchange E-Mail-Server. Für jedes dieser Geräte wurden in den letzten 12 Monaten größere Schwachstellen öffentlich bekannt gegeben, wie z.B. CVE-2020-5902, CVE-2019-19781, CVE-2019-11510 und CVE-2020-0688.

Laut einer heute vom CISA veröffentlichten Tabelle, in der die chinesischen Aktivitäten gegen diese Geräte zusammengefasst sind, waren einige Angriffe erfolgreich und ermöglichten es chinesischen Hackern, in Bundesnetzen Fuß zu fassen. Diese Angriffe sind nicht neu. ZDNet berichtete im vergangenen Jahr, dass Hacker des chinesischen Staates weniger als einen Monat, nachdem die Schwachstellen bekannt wurden, auf Pulse Secure- und Fortinet-VPN-Server gezielt hatten.

Darüber hinaus sind chinesische Hacker nicht die einzigen, die diese speziellen Netzwerkgeräte ins Visier genommen haben. Die oben aufgeführten Geräte wurden auch von iranischen staatlichen Akteuren ins Visier genommen, wie aus einem Bericht des privaten Cyber-Sicherheitssektors und einer im vergangenen Monat vom FBI veröffentlichten Cyber-Sicherheitswarnung hervorgeht.

Eine iranische Gruppe hat diese Art von Geräten massenhaft kompromittiert und dann Zugang zu anderen iranischen Gruppen gewährt, so dass diese die Netzwerke, die sie kompromittieren wollten, für geheimdienstliche Sammelaktionen auswählen konnten. Die kompromittierten Geräte, die nicht ausgewählt wurden, wurden einem Crowdstrike-Bericht zufolge später in unterirdischen Hacking-Foren zum Verkauf angeboten.

Der CISA-Alarm ruft den US-Privatsektor und Regierungsbehörden dazu auf, F5, Citrix, Pulse Secure und Microsoft Exchange-Geräte zu patchen. Die Warnung warnt jedoch auch davor, dass chinesische Hacker ein breites Spektrum anderer Einbruchsmethoden anwenden.

Dazu gehören auch die Verwendung von Spear-Phishing-E-Mails – ein klassischer Angriff chinesischer staatlicher Akteure – und der Einsatz von Brute-Force-Angriffen, die sich schwache oder voreingestellte Zugangsdaten zunutze machen.

Wenn chinesische Hacker erst einmal in zielgerichtete Netzwerke eingedrungen sind, setzen sie oft auch kommerzielle und Open-Source-Tools ein, um sich lateral über Netzwerke zu bewegen und Daten auszulesen. Dazu gehört auch der Einsatz von Penetrationstest-Tools wie Cobalt Strike und Mimikatz.

Wenn Angriffe auf öffentlich zugängliche Web-Systeme wie VPNs, Web- und E-Mail-Server abzielen, hat der CISA nach eigenen Angaben häufig Hacker aus dem chinesischen Staat entdeckt, die die Web-Shell China Chopper einsetzen, ein gängiges Tool, das sie seit fast einem Jahrzehnt verwenden.

CISA-Beamte empfehlen, dass Sicherheitsteams in Privatunternehmen, im Privatsektor und in Regierungsbehörden den Bericht lesen, die gemeinsamen Taktiken, Techniken und Verfahren (TTPs) chinesischer staatlicher Akteure zur Kenntnis nehmen, Geräte patchen und Erkennungsregeln entsprechend einsetzen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago