„Pacific Rim“-Report: Riesiges Angriffs-Ökosystem aufgedeckt
Ein umfangreicher Forschungsbericht gibt Einblicke in ein über mehrere Jahre andauerndes Katz-und-Maus-Spiel zwischen einem IT-Sicherheitsunternehmen und mehreren, miteinander verbundenen nationalstaatlichen Bedrohungsakteuren mit Sitz in China.
Sophos hat den Report „Pacific Rim“ veröffentlicht, der detailliere Einblicke in die ausgeklügelten Strategien und Taktiken von Bedrohungsakteuren gewährt, die immer wieder versucht haben, Sicherheitsmaßnahmen zu umgehen und Schwachstellen auszunutzen. Die langanhaltende Auseinandersetzung zeigt, wie hartnäckig und geschickt beide Seiten ihre technologischen Fähigkeiten einsetzen, um entweder kritische Infrastrukturen zu schützen oder diese gezielt anzugreifen.
Überblick: Die Ergebnisse des „Pacific Rim“-Reports
Die Angriffe richteten sich gezielt gegen Sicherheits-Perimetergeräte, darunter Sophos Firewalls. Mit neuartigen Exploits und maßgeschneiderter Malware konnten die Angreifer Werkzeuge zur Überwachung, Sabotage und Cyberspionage einbringen. Dabei zeigten sich Überschneidungen mit den Taktiken, Techniken und Verfahren (TTPs) bekannter chinesischer Nationalstaatsgruppen wie Volt Typhoon, APT31 und APT41. Die Ziele der Angriffe lagen vor allem in Süd- und Südostasien und umfassten kritische Infrastrukturen, staatliche Einrichtungen sowie Lieferanten im Bereich Kernenergie, Flughäfen, Militärkrankenhäuser und zentrale Ministerien.
Sophos X-Ops, die Abteilung für Cybersicherheit und Bedrohungsaufklärung von Sophos, arbeitete daran, die Bedrohungen zu neutralisieren und Abwehrstrategien fortlaufend zu verbessern. Nachdem Sophos erfolgreich auf die ersten Angriffe reagiert hatte, intensivierten die Angreifer ihre Bemühungen und brachten erfahrenere Operatoren ins Spiel. Dies führte dazu, dass Sophos auf ein umfangreiches Cybercrime-Ökosystem stieß, das hinter diesen Angriffen stand.
Seit 2020 hat Sophos wiederholt Berichte über einzelne Kampagnen wie Cloud Snooper und Asnarök veröffentlicht. Nun legt das Unternehmen eine umfassende Analyse der letzten fünf Jahre vor, um die Hartnäckigkeit und den Fokus chinesischer Nationalstaatsgruppen auf die Ausnutzung von ungepatchten oder veralteten Netzwerkperimetergeräten hervorzuheben. Diese Gruppen nutzen häufig Zero-Day-Exploits, die speziell auf solche Geräte abzielen, um ihre Angriffe durchzuführen.
Sophos fordert Organisationen dringend auf, Sicherheits-Patches für Schwachstellen auf internetfähigen Geräten schnellstmöglich einzuspielen und ältere Geräte, die keine Updates mehr erhalten, auf aktuelle Modelle umzustellen.
Netzwerkperimetergeräte beliebte Ziele
Ross McKerchar, CISO bei Sophos, warnt, dass Netzwerkperimetergeräte bevorzugte Ziele für chinesische Hackergruppen wie Volt Typhoon sind. Die Angreifer nutzen sogenannte Operational Relay Boxes (ORB) aus kompromittierten IoT-Geräten, um Angriffe zu tarnen und zu verstärken, oft mit Fokus auf Spionage oder Vorbereitung zukünftiger Attacken. Sophos wehrte die Angriffe ab und nutzte die gewonnenen Informationen zur Verbesserung des Kundenschutzes.
„Aktuelle Berichte der CISA zeigen deutlich, dass chinesische Nationalstaatgruppen eine dauerhafte Bedrohung für die kritische Infrastruktur vieler Länder darstellen,“ erklärt McKerchar weiter. „Kleine und mittlere Unternehmen, die oft das schwächste Glied in der Lieferkette bilden, sind besonders gefährdet, da ihnen oft die Mittel zur Verteidigung fehlen. Die Angreifer arbeiten zudem verdeckt und verbergen sich in Netzwerken, was ihre Entdeckung und Entfernung erschwert.“
Jeff Greene, CISA Executive Assistant Director for Cybersecurity, bestätigt diese Einschätzung: „Dank der Zusammenarbeit im JCDC teilt die CISA wichtige Informationen über Bedrohungen, einschließlich der fortgeschrittenen Taktiken staatlich geförderter Akteure. Berichte wie der von Sophos bieten wertvolle Einblicke und helfen Verteidigern weltweit, gezielte Maßnahmen zu ergreifen.“
Sicherheitsmaßnahmen gegen staatlich unterstützte Cyberangriffe
Unternehmen sollten damit rechnen, dass alle mit dem Internet verbundenen Geräte, besonders in kritischen Infrastrukturen, bevorzugte Angriffsziele staatlich unterstützter Hacker sind. Sophos empfiehlt die folgenden Maßnahmen, um die Sicherheitslage zu verbessern:
- Reduzieren Sie internetbasierte Dienste und Geräte, wenn möglich.
- Priorisieren Sie dringend die Sicherheitsupdates für alle internetverbundenen Geräte und überwachen Sie diese kontinuierlich.
- Aktivieren Sie automatische Hotfixes für Perimetergeräte, damit Sicherheitslücken schnell geschlossen werden.
- Planen Sie den Umgang mit veralteten Geräten, die keine Updates mehr erhalten.
- Kooperieren Sie mit Behörden und Partnern in der Branche, um wichtige Bedrohungsinformationen (IoCs) auszutauschen und schneller darauf reagieren zu können.
Ross McKerchar ergänzt: „Um der Bedrohung wirksam zu begegnen, müssen alle – von Unternehmen und Behörden bis hin zu Sicherheitsdienstleistern – zusammenarbeiten und Informationen teilen. Angreifer nehmen gezielt Perimetergeräte ins Visier, die eigentlich Netzwerke schützen sollen. Alle Beteiligten, insbesondere auch Anbieter und Managed Service Provider, sollten sicherstellen, dass diese Geräte gut abgesichert sind und kritische Patches sofort nach Veröffentlichung installiert werden.“
McKerchar weist darauf hin, dass Angreifer aktiv nach veralteten Geräten suchen und ruft die Anbieter dazu auf, verlässliche Hotfixes bereitzustellen, einfache Upgrades für ältere Geräte zu ermöglichen und Schwachstellen im Altsystem gezielt zu beseitigen. Durch standardmäßig sichere Designs soll die Integrität der eingesetzten Geräte gewährleistet werden.
Den gesamten Report mit zahlreichen Details sowie den wichtigsten Meilensteinen der Pacific-Rim-Historie gibt es hier.
„Um der Bedrohung wirksam zu begegnen, müssen alle – von Unternehmen und Behörden bis hin zu Sicherheitsdienstleistern – zusammenarbeiten und Informationen teilen…“, so Ross McKerchar, CISO bei Sophos