DarkHotel: Hacker greifen chinesische Behörden über VPN-Zero-Day-Lücke an

Die Hacker schleusen über kompromittierte VPN-Server von Sangfor einen Backdoor-Trojaner ein. Möglicherweise geht es ihnen um Informationen über die COVID-19-Pandemie. Die Hintermänner stammen wahrscheinlich von der koreanischen Halbinsel.

Der chinesische Sicherheitsanbieter Qihoo 360 hat eine massive Angriffswelle auf chinesische Regierungsbehörden aufgedeckt. Die Hintermänner sollen mit staatlicher Unterstützung handeln. Für ihre Attacken, die im März begannen, nutzen sie eine Zero-Day-Lücke in SSL-VPN-Servern von Sangfor.

Motivfoto Hacker (Bild: Shutterstock)Bisher wurden den Forschern zufolge mehr als 200 VPN-Server geknackt. Davon befanden sich 174 in Netzwerken von Regierungsbehörden in Peking und Shanghai. Betroffen sind aber offenbar auch diplomatische Niederlassungen der Volksrepublik in Italien, Großbritannien, Saudi-Arabien, Indien, Israel, der Türkei, Thailand und weiteren Ländern.

Im Untersuchungsbericht von Qihoo 360 heißt es, die gesamte Angriffskette sei sehr ausgeklügelt und clever. Auf einem gehackten VPN-Server ersetzten die Cyberkriminellen eine Datei namens SangforUD.exe durch eine speziell gestaltete Version. Bei der Datei handele es sich um ein Update für den Sangfor-VPN-Client – die manipulierte Version installiere auf Client-Systemen aber stattdessen einen Backdoor-Trojaner.

Die Angriffe verfolgten die Forscher zurück zu einer DarkHotel genannten Gruppe, die auf der koreanischen Halbinsel vermutet wird. Unklar ist jedoch, ob die seit 2007 aktive Gruppe, die zu den fortschrittlichsten weltweit gezählt wird, von Nordkorea oder von Südkorea unterstützt wird.

Google-Forscher hatten im März gemeldet, dass DarkHotel im vergangenen Jahr insgesamt fünf Zero-Day-Lücken für ihre Angriffe benutzte, mehr als jede andere Gruppierung. 2020 sollen es die Hacker mit der Sangfor-Schwachstelle schon auf drei Zero-Day-Lücken bringen.

Die Motive für die aktuelle Kampagne konnten die Forscher bisher nicht eindeutig klären. Sie vermuten, dass es um Informationen zum Umgang der chinesischen Behörden mit der COVID-19-Pandemie geht. Reuters zufolge soll DarkHotel zuletzt auch gegen die Weltgesundheitsorganisation WHO vorgegangen sein, die weltweit die Bemühungen zur Eindämmung des neuartigen Corona-Virus koordiniert.

Sangfor ist die Zero-Day-Lücke seit 3. April bekannt. Nach Angaben des Unternehmens sind VPN-Server mit den Firmware-Versionen M6.3R1 und M6.1 angreifbar. Heute im Lauf des Tags sollen für alle anfälligen Systeme Updates zur Verfügung stehen. Ein Skript soll Kunden zudem helfen, kompromittierte VPN-Server aufzuspüren. Ein weiteres Tool kündigte Sangfor an, um von den Hackern eingeschleuste Dateien zu entfernen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cybercrime, Malware, Security, Sicherheit, VPN, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu DarkHotel: Hacker greifen chinesische Behörden über VPN-Zero-Day-Lücke an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *