US-Cybersicherheits- und Nachrichtendienste warnen seit mindestens 2020 vor staatlich unterstützten Cyber-Akteuren aus China, die Schwachstellen in ihren Netzwerken ausnutzen, um Organisationen des öffentlichen und privaten Sektors auszuspionieren.
Die weit verbreiteten Einbruchskampagnen zielen darauf ab, öffentlich bekannte Sicherheitslücken in Netzwerkgeräten wie SOHO-Routern (Small Office/Home Office) und NAS-Geräten (Network Attached Storage) auszunutzen, um tieferen Zugang zu den Netzwerken der Opfer zu erlangen.
Außerdem nutzten die Angreifer diese kompromittierten Geräte, um den Command-and-Control (C2)-Verkehr zu leiten, um in großem Umfang in andere Ziele einzudringen, so die U.S. National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) in einer gemeinsamen Mitteilung.
Die Täter ändern nicht nur ihre Taktik als Reaktion auf öffentliche Enthüllungen, sondern setzen auch eine Mischung aus Open-Source- und benutzerdefinierten Tools zur Aufklärung und zum Scannen von Schwachstellen ein, um ihre Aktivitäten zu verschleiern und zu verschleiern.
Die Angriffe selbst werden durch den Zugriff auf kompromittierte Server, die von den Behörden als „Hop-Points“ bezeichnet werden, von in China ansässigen IP-Adressen aus erleichtert, die sie zum Hosten von C2-Domains und E-Mail-Konten sowie zur Kommunikation mit den Zielnetzwerken nutzen.
„Cyber-Akteure nutzen diese Hop-Points als Verschleierungstechnik, wenn sie mit den Netzwerken der Opfer interagieren“, schreiben die Behörden und beschreiben, wie die Angreifer Schwachstellen in Telekommunikationsunternehmen und Netzwerkdienstleistern ausnutzen.
Nachdem sie über eine ungepatchte Internetverbindung in das Netzwerk eingedrungen sind, wurden sie dabei beobachtet, wie sie sich die Zugangsdaten für Benutzer- und Administratorkonten beschafften und anschließend Router-Befehle ausführten, um „den Datenverkehr heimlich aus dem Netzwerk zu einer von den Akteuren kontrollierten Infrastruktur zu leiten, abzufangen und zu exfiltrieren“.
Zu guter Letzt veränderten oder entfernten die Angreifer auch lokale Protokolldateien, um Beweise für ihre Aktivitäten zu löschen und so ihre Anwesenheit weiter zu verschleiern und einer Entdeckung zu entgehen.
Die Behörden nannten keinen bestimmten Bedrohungsakteur, wiesen aber darauf hin, dass die Ergebnisse die Geschichte chinesischer staatlich gesponserter Gruppen widerspiegeln, die kritische Infrastrukturen aggressiv angreifen, um sensible Daten, neue Schlüsseltechnologien, geistiges Eigentum und persönliche Informationen zu stehlen.
Die Veröffentlichung erfolgte weniger als einen Monat, nachdem die Cybersicherheitsbehörden die am häufigsten genutzten Einstiegsvektoren für Einbrüche aufgedeckt hatten, darunter falsch konfigurierte Server, schwache Passwortkontrollen, ungepatchte Software und das Versagen, Phishing-Versuche zu blockieren.
„Unternehmen können die in dieser Empfehlung aufgeführten Schwachstellen entschärfen, indem sie die verfügbaren Patches auf ihre Systeme aufspielen, veraltete Infrastruktur ersetzen und ein zentrales Patch-Management-Programm einführen“, so die Behörden.