Beobachtungen
Am 13. November veröffentlichten CISA und FBI ein gemeinsames Statement zu Angriffen auf US-amerikanische Telekommunikationsanbieter durch chinesische Cyberakteure. Die Angreifer konnten hierbei sowohl auf Anrufdaten als auch auf laufende Telekommunikation von Politikern und Regierungsmitgliedern zugreifen. Zudem konnten die Angreifer Daten zu staatlichen Telefonüberwachungsmaßnahmen abgreifen.
Aktuelle Recherchen des Sicherheitsdienstleisters Trend Micro zeigen auf, dass die hinter dem Angriff vermuteten Akteure bereits seit 2023 gezielt kritische Einrichtungen wie Telekommunikationsunternehmen und Regierungsorganisationen im Rahmen von Spionageaktivitäten angreifen.
Hintergrund und Methoden
Während die jüngsten Angriffe noch Gegenstand von Ermittlungen sind, gibt es Erkenntnisse zur Vorgehensweise der Akteure in anderen Kampagnen. Für den Initial Access nutzten die Angreifer hierbei unter anderem Schwachstellen in offen zugänglichen VPN- und Netzwerksicherheitslösungen. Folgende Schwachstellen werden der Kampagne zugeschrieben:
- Ivanti Connect Secure VPN (CVE-2023-46805, CVE-2024-21887)
- Fortinet FortiClient (CVE-2023-48788)
- Sophos Firewall (CVE-2022-3236)
- Microsoft Exchange Sever (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Nach einem erfolgreichen Angriff setzten die Akteure verschiedene Backdoors ein. Darunter eine bislang unbekannte, multi-modulare Backdoor namens GHOSTSPIDER. Diese wird in Form verschiedener maliziöser DLLs ausgeführt.
Attribution
Die beschriebene Kampagne wird dem staatlich gesteuerten, chinesischen Cyberakteur Salt Typhoon (andere Bezeichnungen: Earth Estries, UNC2286, FamousSparrow, GhostEmperor) zugeschrieben, der laut übereinstimmenden Medienberichten ebenfalls für die aktuellen Angriffe auf US-Provider verantwortlich ist. Zu Aktivitäten dieser Gruppierung haben wir bereits im September 2024 einen Sicherheitshinweis veröffentlicht.
Empfehlungen
Die beschriebenen VPN- und Netzwerkkomponenten sind immer wieder Ziel staatlicher und krimineller Akteure. Wir empfehlen daher, speziell bei diesen Geräten ein schnelles Einspielen von Sicherheitsupdates und Patches.
Zu der aufgezeigten Kampagne wurden zudem bereits entsprechende IOCs und YARA-Rules veröffentlicht, anhand derer sich eine mögliche Kompromittierung feststellen lässt.