Facebook enttarnt vietnamesische Hackergruppe APT32

Facebook hat überraschend die wahre Identität der Hackergruppe APT32 enthüllt, die als einer der aktivsten Gruppen weltweit gilt, die mit staatlicher Unterstützung agieren. Sie soll Verbindungen zur vietnamesischen Regierung unterhalten. Auf die Hacker stieß Facebooks Sicherheitsteam, als es Versuche von APT32 blockierte, Nutzer des Social Network mit Schadsoftware zu infizieren.

„Unsere Untersuchung brachte diese Aktivitäten mit der CyberOne Group in Verbindung, einem IT-Unternehmen in Vietnam, auch bekannt als CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet und Diacauso“, sagten Nathaniel Gleicher, Head of Security Policy bei Facebook, und Mike Dvilyanski, Cyber Threat Intelligence Manager.

Den beiden Managern zufolge legte APT32 Konten und Seiten für nicht existierende Personen an, die sich als Aktivisten oder Unternehmen ausgaben. Per Social Engineering verbreiteten sie links zu mehreren Domains, die entweder gehackt oder von den Cyberkriminellen selbst betrieben wurden. Die Links wiederum führten Nutzer zu Phishing-Seiten oder zu Schadsoftware. Einige Links verwiesen sogar auf Android-Apps, die die Hacker zuvor in den offiziellen Google Play Store eingeschleust hatten – jeweils mit dem Ziel, Nutzer auszuspionieren.

Die Angriffe richteten sich gegen Menschenrechtsaktivisten und Vietnam und anderen Ländern, ausländische Regierungen, Nicht-Regierungsorganisationen, Nachrichtenagenturen und Unternehmen in zahlreichen Branchen. Als Gegenmaßnahme sperrte Facebook nicht nur die Konten und Seiten der Hacker, sondern auch deren Domains. Zudem veröffentliche es YARA-Regeln und Malware-Signaturen, die es anderen Sozialen Netzwerken und Sicherheitsanbietern ermöglichen, eigene Maßnahmen zum Schutz ihrer Kunden zu ergreifen.

Die APT32-Gruppe, die auch als OceanLotus bekannt ist, ist seit 2014 aktiv. Sie geht seitdem anscheinend gegen jegliche Ziele vor, die der vietnamesischen Regierung einen Vorteil bringen könnten. 2019 sollen die Hacker zahlreiche Autobauer wie BMW, Hyundai und Toyota angegriffen haben, um geistiges Eigentum zu stehlen, um den vietnamesischen Autobauer VinFast zu unterstützen, der wiederum vom vietnamesischen Staat finanziert wird. In diesem Jahr gingen die Hacker gegen Ziele vor, die über Informationen über das Corona-Virus verfügen könnten.

Der Cybersicherheitsfirma, die hinter der Hackergruppe stecken soll, ist laut Facebook immer noch aktiv. Allerdings sind die Website des Unternehmens und auch die offiziell hinterlegten Telefonnummern nicht mehr aktiv. Auch von ZDNet USA verschickte E-Mails mit der Bitte um eine Stellungnahme kamen als unzustellbar zurück.

Die Enthüllung der Identität der Hacker ist ungewöhnlich, weil schwer zu belegen. Bisher waren lediglich Strafverfolger oder anonyme Quellen dazu bereit, einzelne Hacker oder ganze Gruppen zu enttarnen. Einzige Ausnahme war bisher FireEye, dass Ende Oktober 2018 eine staatliche russische Forschungseinrichtung als Hintermänner der Triton-Malware beschuldigte. Gerüchten zufolge sollen russische Hacker nun an dem Unternehmen gerächt und seine Systeme kompromittiert haben.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

11 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago