Das Cybersicherheitsunternehmen ESET warnt in seinem aktuellen Quartalsbericht[1] vor chinesischen Cybergruppierungen, die sich mittels der verfügbaren VPN-Software SoftEther VPN unentdeckt in Unternehmensnetzwerke einnisten. Bei SoftEther VPN handelt es sich um ein Open-Source-Programm, das häufig von Unternehmen für Remote-Verbindungen eingesetzt wird.
Beobachtungen
ESET schreibt in seinem Bericht, dass eine Zunahme der Nutzung von SoftEther VPN durch chinesische Hackergruppen festgestellt wurde. Teilweise versuchen diese damit, den Einsatz klassischer Backdoors zu ersetzen, um ihren Zugang zu Opfersystemen aufrecht zu erhalten.
Hintergrund und Methoden
SoftEther VPN verwendet HTTPS zum Aufbau eines VPN-Tunnels. Angreifer versuchen so, die Sicherheitseinstellungen von Firewalls zu umgehen und sich in legitimen Datenverkehr einzuschleusen. Die anschließende Exfiltration von Daten bleibt daher oft unentdeckt. Laut ESET sammeln die Angreifer Informationen wie Forschungs- und Zugangsdaten und nehmen zunehmend europäische Ziele aus der Rüstungsindustrie und der öffentlichen Verwaltung ins Visier.
Attribution
Die im ESET-Bericht genannten chinesischen Hackergruppierungen sind der Cyberabwehr teilweise bekannt. Es ist sehr wahrscheinlich, dass es sich bei den chinesischen Hackgruppierungen, die SoftEther VPN-Produkte im Rahmen von Cyberangriffen verwenden, um staatlich gesteuerte Akteure handelt.
Empfehlungen
Organisationen sollten alle eingesetzten SoftEther-VPN-Produkte als verdächtig einstufen und mit besonderer Vorsicht betreiben.
Dies gilt insbesondere dann, wenn die ausführbare Datei nicht den korrekten Dateinamen hat. Darüber hinaus empfehlen wir, die
Ausführbarkeit von SoftEther-VPN-Produkten dort zu blockieren, wo es keinen Grund für deren Installation gibt. Generell ist zu
prüfen, ob Installationen und der Einsatz von Remote Monitoring & Management Tools im eigenen Netzwerk zulässig sind, da
solche legitimen Produkte oftmals zur Verschleierung von Cyberangriffen eingesetzt werden.