von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Gefahr durch Cyberattacken per RDP
APT39 greift personenbezogene Daten ab
Die Cyberspionage-Gruppe APT39 führt seit längerer Zeit eine umfangreiche Kampagne mit einer breiten Palette von benutzerdefinierten und gängigen Tools durch. APT39 konzentrierte sich dabei bislang auf personenbezogene Daten, um Überwachungs- oder Verfolgungsmaßnahmen zu unterstützen, die den nationalen Prioritäten des Iran dienen. Ziel der Angreifer ist es wohl auch, zusätzliche Zugänge und Vektoren zu schaffen, die zukünftige Kampagnen erleichtern.
Die Gruppe, die seit 2014 besteht, konzentrierte ihre Aktivitäten bislang auf den Mittleren Osten. Es wurden aber auch Unternehmen in Europa, Südkorea und den USA ins Visier genommen. Die meisten Ziele gehören der Telekommunikations- und Reisebranche an, aber die Hightech-Industrie und Regierungsbehörden waren ebenso bereits betroffen. APT39 setzt RDP ein, um sich in fremden Netzwerken seitlich vorzutasten und längerfristig festzusetzen. Diese Vorgehensweise deutet auf eine neue Qualität der Cyberspionage hin. Früher haben staatlich geförderte Akteure nur grundlegende Informationen gestohlen, aber jetzt bauen sie langfristige Spionagekampagnen auf, installieren Sensoren in sicheren Netzwerken und nutzen sie wann immer möglich.
Staatlich geförderte chinesische Hackergruppe
APT40 hingegen führt mindestens seit 2013 Operationen zur Unterstützung der Modernisierungsbemühungen der chinesischen Marine durch. Die Gruppe verwendet kompromittierte Zugangsdaten, um sich an anderen verbundenen Systemen anzumelden und Auskundschaftungen durchzuführen. Die Gruppe nutzt neben RDP auch SSH, legitime Software in der Opferumgebung, eine Reihe von nativen Windows-Funktionen, öffentlich verfügbare Tools sowie spezifische Skripte, um die interne Auskundschaftung zu erleichtern.
Beobachtungen zufolge hat die APT40-Gruppe – getarnt als Hersteller unbemannter Unterwasserfahrzeuge – bereits Universitäten ins Visier genommen, die sich mit Marineforschung beschäftigen. Die Gruppe richtet ihre Aktivitäten auch an Länder, die in geopolitische Streitigkeiten im südchinesischen Meer involviert sind. Ein weiteres Angriffsziel sind Nationen, die China mit seiner eine Billion Dollar teuren "Trade Network"-Initiative, bekannt als "Belt and Road", in ganz Asien, Europa und dem Mittleren Osten zu beeinflussen versucht.
RDP-Missbrauch wird zur flächendeckenden Bedrohung
Dies sind nur Beispiele größerer, spektakulärer Cyberangriffe auf Basis von RDP. Das weit verbreitete Fernwartungsprotokoll scheint derzeit besonders attraktiv zu sein für Cyberangreifer. Wovor Sicherheitsexperten schon seit längerem warnten, wächst sich nun zu einer flächendeckenden Bedrohung aus. Die aktuelle Studie von Vectra zeigt, dass ganze Branchen betroffen sind. Zuletzt warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2019 vor einer kritischen Schwachstelle im RDP-Dienst einiger Windows-Versionen. Aufgrund der sehr häufigen Verwendung des an sich sehr hilfreichen Protokolls dürfte die Zahl der Attacken, bei denen RDP von Angreifern missbraucht wird, auch zukünftig sehr hoch bleiben.
Cyberangreifer folgen typischerweise dem Weg des geringsten Widerstands, um ihre Ziele zu erreichen und versuchen, bestehende Administrationstools wie RDP für ihre Zwecke zu nutzen. Meist geht es um Industriespionage oder staatlich-politisch motivierte Aktivitäten. Die Angreifer wollen in der Regel das fremde Netzwerk auskundschaften, sich seitlich vorarbeiten zu wertvollen Datenbeständen und schließlich Daten aus dem Netzwerk möglichst unauffällig herausschleusen. Die Allgegenwärtigkeit von RDP auf Windows-Systemen und die häufige Verwendung durch Systemadministratoren machen RDP zum idealen Werkzeug für Angreifer, um bei der Ausführung ihrer Aktivitäten eine Erkennung zu vermeiden.
Fazit
Es ist wichtig, dass Sicherheitsteams verstehen, wie Angreifer RDP verwenden, denn es wird auch in naher Zukunft eine Bedrohung darstellen. Herkömmliche signaturbasierte Sicherheitslösungen sind hier nicht hilfreich. Effektiven Schutz verspricht eine KI-basierte Plattform zur Erkennung und Reaktion auf Netzwerbedrohungen. Eine solche Plattform sammelt Netzwerk-Metadaten mit dem richtigen Kontext, reichert diese mit weiteren Bedrohungsdaten an und speichert sie zur weiteren KI-gestützten Analyse. Auf diese Weise lassen sich versteckte Bedrohungen in Echtzeit erkennen, verfolgen und untersuchen. Entscheidend ist hierbei nicht zuletzt die Skalierbarkeit, um große, verteilte Netzwerkumgebungen vollständig abzudecken. Die Kombination aus Cloudressourcen sowie virtuellen und physischen Sensoren liefert die erforderliche Rundumsicht auf Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerke, sodass Angreifer sich nicht verstecken können.
ln/Andreas Müller, Regional Director DACH bei Vectra Networks
Die Cyberspionage-Gruppe APT39 führt seit längerer Zeit eine umfangreiche Kampagne mit einer breiten Palette von benutzerdefinierten und gängigen Tools durch. APT39 konzentrierte sich dabei bislang auf personenbezogene Daten, um Überwachungs- oder Verfolgungsmaßnahmen zu unterstützen, die den nationalen Prioritäten des Iran dienen. Ziel der Angreifer ist es wohl auch, zusätzliche Zugänge und Vektoren zu schaffen, die zukünftige Kampagnen erleichtern.
Die Gruppe, die seit 2014 besteht, konzentrierte ihre Aktivitäten bislang auf den Mittleren Osten. Es wurden aber auch Unternehmen in Europa, Südkorea und den USA ins Visier genommen. Die meisten Ziele gehören der Telekommunikations- und Reisebranche an, aber die Hightech-Industrie und Regierungsbehörden waren ebenso bereits betroffen. APT39 setzt RDP ein, um sich in fremden Netzwerken seitlich vorzutasten und längerfristig festzusetzen. Diese Vorgehensweise deutet auf eine neue Qualität der Cyberspionage hin. Früher haben staatlich geförderte Akteure nur grundlegende Informationen gestohlen, aber jetzt bauen sie langfristige Spionagekampagnen auf, installieren Sensoren in sicheren Netzwerken und nutzen sie wann immer möglich.
Staatlich geförderte chinesische Hackergruppe
APT40 hingegen führt mindestens seit 2013 Operationen zur Unterstützung der Modernisierungsbemühungen der chinesischen Marine durch. Die Gruppe verwendet kompromittierte Zugangsdaten, um sich an anderen verbundenen Systemen anzumelden und Auskundschaftungen durchzuführen. Die Gruppe nutzt neben RDP auch SSH, legitime Software in der Opferumgebung, eine Reihe von nativen Windows-Funktionen, öffentlich verfügbare Tools sowie spezifische Skripte, um die interne Auskundschaftung zu erleichtern.
Beobachtungen zufolge hat die APT40-Gruppe – getarnt als Hersteller unbemannter Unterwasserfahrzeuge – bereits Universitäten ins Visier genommen, die sich mit Marineforschung beschäftigen. Die Gruppe richtet ihre Aktivitäten auch an Länder, die in geopolitische Streitigkeiten im südchinesischen Meer involviert sind. Ein weiteres Angriffsziel sind Nationen, die China mit seiner eine Billion Dollar teuren "Trade Network"-Initiative, bekannt als "Belt and Road", in ganz Asien, Europa und dem Mittleren Osten zu beeinflussen versucht.
RDP-Missbrauch wird zur flächendeckenden Bedrohung
Dies sind nur Beispiele größerer, spektakulärer Cyberangriffe auf Basis von RDP. Das weit verbreitete Fernwartungsprotokoll scheint derzeit besonders attraktiv zu sein für Cyberangreifer. Wovor Sicherheitsexperten schon seit längerem warnten, wächst sich nun zu einer flächendeckenden Bedrohung aus. Die aktuelle Studie von Vectra zeigt, dass ganze Branchen betroffen sind. Zuletzt warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2019 vor einer kritischen Schwachstelle im RDP-Dienst einiger Windows-Versionen. Aufgrund der sehr häufigen Verwendung des an sich sehr hilfreichen Protokolls dürfte die Zahl der Attacken, bei denen RDP von Angreifern missbraucht wird, auch zukünftig sehr hoch bleiben.
Cyberangreifer folgen typischerweise dem Weg des geringsten Widerstands, um ihre Ziele zu erreichen und versuchen, bestehende Administrationstools wie RDP für ihre Zwecke zu nutzen. Meist geht es um Industriespionage oder staatlich-politisch motivierte Aktivitäten. Die Angreifer wollen in der Regel das fremde Netzwerk auskundschaften, sich seitlich vorarbeiten zu wertvollen Datenbeständen und schließlich Daten aus dem Netzwerk möglichst unauffällig herausschleusen. Die Allgegenwärtigkeit von RDP auf Windows-Systemen und die häufige Verwendung durch Systemadministratoren machen RDP zum idealen Werkzeug für Angreifer, um bei der Ausführung ihrer Aktivitäten eine Erkennung zu vermeiden.
Fazit
Es ist wichtig, dass Sicherheitsteams verstehen, wie Angreifer RDP verwenden, denn es wird auch in naher Zukunft eine Bedrohung darstellen. Herkömmliche signaturbasierte Sicherheitslösungen sind hier nicht hilfreich. Effektiven Schutz verspricht eine KI-basierte Plattform zur Erkennung und Reaktion auf Netzwerbedrohungen. Eine solche Plattform sammelt Netzwerk-Metadaten mit dem richtigen Kontext, reichert diese mit weiteren Bedrohungsdaten an und speichert sie zur weiteren KI-gestützten Analyse. Auf diese Weise lassen sich versteckte Bedrohungen in Echtzeit erkennen, verfolgen und untersuchen. Entscheidend ist hierbei nicht zuletzt die Skalierbarkeit, um große, verteilte Netzwerkumgebungen vollständig abzudecken. Die Kombination aus Cloudressourcen sowie virtuellen und physischen Sensoren liefert die erforderliche Rundumsicht auf Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerke, sodass Angreifer sich nicht verstecken können.
ln/Andreas Müller, Regional Director DACH bei Vectra Networks
