Systeme, die Inhalte zu den Nationalen Spielen Chinas hosten, wurden im vergangenen Jahr von einer ungenannten, chinesisch sprechenden Hackergruppe erfolgreich angegriffen.
Das Cybersicherheitsunternehmen Avast, das den Einbruch untersuchte, erklärte, die Angreifer hätten sich 12 Tage vor Beginn der Veranstaltung am 3. September Zugang zu einem Webserver verschafft, um mehrere Reverse-Web-Shells für den Fernzugriff abzulegen und dauerhaft im Netzwerk Fuß zu fassen.
Die National Games of China, eine alle vier Jahre stattfindende Multisportveranstaltung, fanden vom 15. bis 27. September 2021 in der Provinz Shaanxi statt.
Das tschechische Unternehmen sagte, es sei nicht in der Lage, die Art der von den Hackern gestohlenen Informationen zu bestimmen, und fügte hinzu, es habe „Grund zu der Annahme, dass [die Angreifer] entweder chinesische Muttersprachler sind oder Chinesisch sehr gut beherrschen.“ Der Einbruch soll noch vor Beginn der Spiele behoben worden sein.
Der ursprüngliche Zugriff wurde durch Ausnutzung einer Schwachstelle im Webserver ermöglicht. Bevor der Angreifer die Web-Shells ausschaltete, experimentierte er auch mit der Art der Dateien, die er auf den Server hochladen konnte, um dann ausführbaren Code einzuschleusen, der sich als scheinbar harmlose Bilddateien tarnte.
Darüber hinaus wurde versucht, den Server so umzukonfigurieren, dass er die Behinder-Web-Shell ausführt. Dies misslang, woraufhin die Angreifer einen kompletten Tomcat-Server hochluden und ausführten, der mit dem Post-Exploitation-Tool ordnungsgemäß konfiguriert und als Waffe eingesetzt wurde.
„Nachdem sie sich Zugang verschafft hatten, versuchten die Angreifer, sich mit Hilfe von Exploits und Brute-Forcing-Diensten auf automatisierte Weise durch das Netzwerk zu bewegen“, so die Avast Forscher David Álvarez Pérez und Jan Neduchal.
Zu den anderen Tools, die auf den Server hochgeladen wurden, gehörten ein Netzwerk-Scanner und ein in Go geschriebenes, benutzerdefiniertes One-Click-Exploit-Framework, das es dem Bedrohungsakteur ermöglichte, sich seitlich zu bewegen und selbstständig in andere Geräte innerhalb desselben Netzwerks einzudringen.
„Go ist eine immer beliebter werdende Programmiersprache, die für mehrere Betriebssysteme und Architekturen in einer einzigen Binärdatei kompiliert werden kann, die alle Abhängigkeiten enthält“, so die Forscher, die auf die zunehmende Verwendung von Go-basierter Malware zur Durchführung von Cyberangriffen hinweisen.
„Wir erwarten daher, dass Malware und graue Tools, die in dieser Sprache geschrieben wurden, bei zukünftigen Angriffen zum Einsatz kommen werden, insbesondere bei [Internet der Dinge]-Angriffen, bei denen eine Vielzahl von Geräten mit unterschiedlichen Prozessorarchitekturen beteiligt sind.“