„Pacific Rim“-Report: Angriffs-Ökosystem aufgedecktAngriffsflächen gehören reduziert

4. November 2024

Ein umfangreicher Forschungsbericht gibt Einblicke in ein über Jahre andauerndes Katz-und-Maus-Spiel zwischen Sophos und mehreren, miteinander verbundenen nationalstaatlichen Gegnern mit Sitz in China.

Im Fokus der Attacken, die der Report „Pacific Rim“ beschreibt, standen Cyber-Sicherheits-Perimetergeräte, darunter Sophos Firewalls. Die Angreifer nutzten eine Reihe von Kampagnen mit neuartigen Exploits und maßgeschneiderter Malware, um Tools zur Durchführung von Überwachung, Sabotage und Cyber-Spionage einzubetten, die sich zudem mit Taktiken, Tools und Verfahren (TTPs) bekannter chinesischer Nationalstaatsgruppen wie Volt Typhoon, APT31 und APT41 überschnitten. Die Gegner nahmen vor allem in Süd- und Südostasien sowohl kleine als auch große kritische Infrastrukturen und Regierungsziele ins Visier, darunter Kernenergielieferanten, den Flughafen einer Landeshauptstadt, ein Militärkrankenhaus, den Staatssicherheitsapparat und zentrale Ministerien.

Im gesamten pazifischen Raum arbeitete Sophos X-Ops, die Cyber-Sicherheits- und Threat-Intelligence-Abteilung des Unternehmens, daran, die Bewegungen der Gegner zu neutralisieren sowie Verteidigungs- und Gegenoffensiven kontinuierlich weiterzuentwickeln. Nachdem Sophos erfolgreich auf die ersten Angriffe reagiert hatte, verstärkten die Gegner ihre Bemühungen und holten erfahrenere Operatoren hinzu. Im Lauf der anschließenden Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem.

Während Sophos seit 2020 immer wieder Details zu einzelnen Kampagnen aus den Angriffswellen veröffentlichte, darunter Cloud Snooper und Asnarök, teilt das Unternehmen nun die Gesamtanalyse der letzten fünf Jahre, um das Bewusstsein für die Hartnäckigkeit chinesischer Nationalstaatgegner und deren absoluten Fokus auf die Kompromittierung von ungepatchten oder End-of-Life-Geräten im Netzwerkperimeter; häufig über Zero-Day-Exploits, die speziell für diese Geräte entwickelt wurden. Sophos fordert alle Organisationen auf, mit absoluter Priorität Patches für Schwachstellen einzuspielen, die in ihren mit dem Internet verbundenen Geräten entdeckt wurden, sowie alle älteren, nicht mehr durch Updates unterstützte Geräte auf aktuelle Modelle zu migrieren. Sophos aktualisiert regelmäßig alle unterstützten Produkte auf der Grundlage neuer Bedrohungen und Kompromittierungs-Indikatoren (IoCs), um Kunden zu schützen. Sophos Firewall-Kunden werden durch schnelle Hotfixes geschützt, die standardmäßig aktiviert sind.

„Die heutige Realität ist, dass Geräte am Netzwerkperimeter zu äußerst attraktiven Zielen für chinesische Nationalstaatsgruppen wie Volt Typhoon und andere geworden sind“, so Ross McKerchar, CISO bei Sophos. „Die Gruppen verschleiern und unterstützten ihre Attacken durch sogenannte Operational Relay Boxes (ORB), die zum Beispiel über kompromittierte IoT-Geräte zum Einsatz kommen. Im Mittelpunkt der Aktivitäten steht die direkte Spionage oder die indirekte Ausnutzung von Schwachstellen für zukünftige Angriffe mit entsprechenden Kollateralschäden, da auch Organisationen getroffen werden, die ursprünglich keine Zielscheibe waren. Für Unternehmen entwickelte Netzwerkgeräte sind besonders attraktive Ziele für diese Zwecke – sie sind leistungsstark, immer aktiv und verfügen über ständige Konnektivität. Als eine Gruppe, die ein globales ORB-Netzwerk aufbauen wollte, einige unserer Geräte ins Visier nahm, reagierten wir mit der Anwendung derselben Erkennungs- und Reaktionstechniken, die wir zum Schutz unserer Unternehmensendpunkte und Netzwerkgeräte verwenden. Dies ermöglichte es uns, die Vorgänge zu stoppen und auf wertvolle Bedrohungsinformationen zuzugreifen, die wir nutzten, um unsere Kunden zu schützen.“

Jüngste Hinweise der CISA (Cybersecurity and Infrastructure Security Agency) haben laut McKerchar deutlich gemacht, dass chinesische Nationalstaatgruppen zu einer ständigen Bedrohung für die kritische Infrastruktur vieler Nationen geworden sind. Dabei werde oft vergessen, ist, dass kleine und mittlere Unternehmen – also diejenigen, die den Großteil der Lieferkette für kritische Infrastrukturen ausmachen – Ziele sind, da sie oft die schwächsten Glieder in diesem Geschäftssystem sind.

Leider verfügen diese Organisationen oft über weniger Ressourcen, um sich gegen solch komplexe Bedrohungen zu verteidigen. Erschwerend kommt hinzu, dass die aktuellen Gegner dazu neigen, sich heimlich in Systemen einzunisten und auf Schleichfahrt im Netzwerk zu gehen. Das macht es sehr schwierig, sie zu entdecken und zu vertreiben – und sie werden nicht aufhören, bis sie gestört werden.

Ratschläge für Verteidiger

Unternehmen sollten damit rechnen, dass alle mit dem Internet verbundenen Geräte Hauptziele nationalstaatlicher Gegner sind, insbesondere Geräte in kritischen Infrastrukturen. Sophos empfiehlt Unternehmen, die folgenden Maßnahmen zu ergreifen, um ihre Sicherheitslage zu stärken.

  • Minimieren Sie nach Möglichkeit internetbasierte Dienste und Geräte.
  • Priorisieren Sie Patches mit Dringlichkeit für mit dem Internet verbundene Geräte und überwachen Sie diese.
  • Ermöglichen Sie, dass Hotfixes für Edge-Geräte zugelassen und automatisch angewendet werden.
  • Erstellen Sie einen Plan für den Umgang Ihrer Organisation mit End-of-Life-Geräten.
  • Arbeiten Sie mit Strafverfolgungsbehörden, öffentlichen und privaten Partnern sowie der Regierung zusammen, um relevante IoCs (Kompromittierungs-Indikatoren) auszutauschen und darauf zu reagieren.

„Wir müssen mit dem öffentlichen und privaten Sektor, den Strafverfolgungsbehörden und Regierungen sowie der Sicherheitsbranche zusammenarbeiten, um unser Wissen über diese feindlichen Operationen auszutauschen“, so Ross McKerchar weiter. „Es ist eine clevere Taktik der Angreifer, genau jene Perimetergeräte ins Visier zu nehmen, die zum Schutz von Netzwerken eingesetzt werden. Organisationen, Vertriebspartner und Managed Service Provider müssen sich darüber im Klaren sein, dass diese Geräte die Hauptziele für Angreifer sind und sollten sicherstellen, dass sie entsprechend abgesichert sind sowie kritische Patches sofort nach ihrer Veröffentlichung angewendet werden. Tatsächlich wissen wir, dass Angreifer aktiv nach EOL-Geräten suchen. Auch hier spielen Anbieter eine große Rolle. Sie müssen Kunden helfen, indem sie zuverlässige und gut getestete Hotfixes unterstützen, ein einfaches Upgrade von EOL-Plattformen ermöglichen, Legacy-Code, der noch bestehende Schwachstellen bergen kann, systematisch umgestalten oder entfernen, und standardmäßig sichere Designs kontinuierlich verbessern, um die Integrität der eingesetzten Geräte zu gewährleisten.“

Sophos „Pacific Rim“-Report

Lesen Sie auch