Meldung

Ausgeklügelter Spionageangriff auf Technologieunternehmen

Bitdefender hat eine Studie veröffentlicht, die eine Wirtschaftsspionage-Kampagne gegen ein US-amerikanisches Technologieunternehmen beschreibt. Der Angriff fand über mehrere Monate statt und konzentrierte sich auf die Exfiltration von Daten. Dabei wurde ein ausgedehntes Netzwerk von mehreren hundert IP-Adressen, die meisten davon aus China, verwendet. Im Rahmen der Studie kommen die Security-Forscher zu dem Schluss, dass diese Art von Angriffen wohl zunehmen wird und rät Unternehmen zu besonderer Vorsicht.
Bitdefender warnt vor Spionagekampagnen gegen Unternehmen.
Ursprung der Studie [1] war eine Spionagekampagne auf einen Bitdefender-Partner, einen US-amerikanischen Hardware-Hersteller mit weniger als 200 Mitarbeitern. Der Angriff erstreckte sich über mehrere Monate und umfasste die Ausnutzung bekannter Sicherheitslücken mit ausgefeilten Techniken zur Datenextraktion.

Solche sogenannten hybriden Angriffe kommen immer häufiger vor. Sie kombinieren opportunistische Taktiken, wie etwa das automatisierte Scannen von Schwachstellen, mit ausgefeilten Techniken, wie etwa die Extraktion wichtiger Unternehmensdaten. Die Kompromittierung erfolgt bei solchen Angriffen unter Verwendung automatischer Scanner, deren Ergebnisse dann von einem Menschen geprüft werden, um festzustellen, ob es sich lohnt, die Daten des Ziels mit komplexen Techniken gezielt anzugreifen und zu extrahieren.

Zugriff über eine bekannte, häufig genutzte Sicherheitslücke
Der anfängliche Infektionsvektor war in diesem Fall eine dem Internet zugewandte Instanz des Webservers "ZOHO ManageEngine ADSelfService Plus", die über eine bekannte, nicht gepatchte, häufig genutzte Schwachstelle (CVE-2021-40539) ausgenutzt wurde. Dies ermöglichte es den Akteuren, die Sicherheitsauthentifizierung zu umgehen und manuell einen beliebigen Code auszuführen. Nachdem sich die Kriminellen Zugriff verschafft hatten, setzten sie eine Web-Shell in einem Verzeichnis ein, auf das sie über das Internet zugreifen konnten, und nutzten sie, um aus der Ferne auf einen Webserver zuzugreifen.

Für den Angriff wurde ein riesiges Netzwerk mit mehreren hundert IP-Adressen (die meisten davon aus China) verwendet. Es wurden zwar Sicherheitswarnungen generiert, der raffinierte Angriff erfolgte jedoch mit manuellen Befehlen und blieb daher unentdeckt.

Ausnutzung von Sicherheitslücken hat sich 2021 verdoppelt
Der in diesem Fall beschriebene Angriff deckt sich mit den Ergebnissen des jüngsten Data Breach Investigations Report 2022, wonach sich die Zahl der Sicherheitsverletzungen, die durch die Ausnutzung von Sicherheitslücken verursacht wurden, im vergangenen Jahr verdoppelt hat. Bitdefender geht davon aus, dass sich dieser Trend fortsetzen wird.

Angreifer konzentrieren sich vermehrt eher auf eine Verletzung der Vertraulichkeit (Datenexfiltration) als auf eine Verletzung der Verfügbarkeit (Einsatz von Ransomware). Unternehmen jeder Größe, die als wertvolles Ziel oder als Weg zu einem größeren Ziel angesehen werden, sind damit gefährdet.

"Unternehmen jeder Art und Größe müssen über eine mehrschichtige Sicherheit verfügen, die Funktionen zur Vorbeugung, Erkennung und Reaktion auf Bedrohungen umfasst. In diesem Fall geschah der Angriff über eine bekannte Webserver-Sicherheitslücke und wandte dann ausgeklügelte manuelle Techniken zur Kompromittierung von Endpunkten und zur Datenexfiltration an," sagt Bob Botezatu Director, Threat Research bei Bitdefender. "Dies ist ein hervorragendes Beispiel dafür, warum die Nutzung von Diensten für Managed Detection and Response in der heutigen Bedrohungslandschaft unerlässlich ist. Unabhängig davon, wie groß oder klein ein Unternehmen ist."
1.09.2022/dr

Tipps & Tools

Im Test: Cloudflare Zero Trust Gateway [29.09.2022]

Lange Zeit waren zentrale Appliances beim Härten der Infrastruktur ein wichtiges Element. Doch durch die stärkere Nutzung von Home Office und mobiler Arbeit rücken dezentrale Ansätze in den Fokus. Das cloudbasierte Gateway Cloudflare Zero Trust verspricht, mobile und stationäre Clients zu schützen. Im Test zeigte das Werkzeug, wie gut es Anwender und Geräte absichert. [mehr]

Leitfaden gegen akute Phishing-Bedrohungen [22.09.2022]

Um gegen Social-Engineering-Angriffe wie Phishing gewappnet zu sein, reichen die klassischen Tools der IT-Security wie Firewalls, Virenschutz und Spamfilter nicht mehr aus. Stattdessen gilt es vor allem auch, ein ganz anderes Einfallstor abzusichern: den Menschen. Unser Online-Fachartikel untersucht die Situation und empfiehlt Maßnahmen, wie das gelingt. [mehr]

Fachartikel

Advertorial: Wichtige Aspekte bei der Umsetzung einer Zero-Trust-Architektur [29.09.2022]

Die Netzwerkstrukturen auf Unternehmensseite gestalten sich zunehmend komplexer. Von der Ausdefinition vielfältiger interner Teilbereiche hinter dem klassischen Perimeter über die Anbindung von Außenstellen mit eigener Infrastruktur oder mobilen Mitarbeitern im Homeoffice bis hin zur verstärkten Nutzung von Cloud Services: Es bleibt nicht viel übrig von den traditionellen IT-Konzepten der Vergangenheit mit klar definierbaren Außengrenzen der informationstechnischen Sphäre. Herkömmliche Strategien zur Absicherung sind angesichts dieser Vielfalt an neuen Gegebenheiten und Anforderungen längst überholt. An ihre Stelle rückt zunehmend das Zero-Trust-Konzept als tragfähiges IT-Security-Paradigma. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen