Beobachtungen
In einem kürzlich veröffentlichten Bericht des IT-Sicherheitsdienstleisters ESET wird über eine weltweit aktive Cyberspionage-Kampagne mit dem Namen "Operation FishMedley“ berichtet. Laut ESET werden die Angriffe von einem Cyberakteur namens „FishMonger“ durchgeführt. Die Angriffe zielen auf Regierungen, Nichtregierungsorganisationen (NGOs) und Think Tanks in Asien, Europa und den USA ab. Die Angreifergruppierung wird mit dem chinesischen IT-Dienstleister i-Soon in Verbindung gebracht. Nach Einschätzung des Bundesamtes für Verfassungsschutzes (BfV) weist dieser Dienstleister Verbindungen zum chinesischen Staatsapparat auf.
Hintergrund und Methoden
Der initiale Angriffsvektor konnte von ESET im Rahmen der Analyse noch nicht identifiziert werden. Bei der Analyse stellte sich jedoch heraus, dass die Angreifer über kritische Zugriffsrechte auf die Systeme und Daten der Opfer verfügten, wie z. B. die Rechte eines Domain-Administrators.
Zu den Angriffswerkzeugen von FishMonger gehören ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS und BIOPASS RAT. Die eingesetzten Malware-Implantate waren hoch entwickelt und speziell darauf ausgelegt, die Sicherheitsmechanismen der Zielsysteme zu umgehen. Zusätzlich setzten die Angreifer auf die Extraktion von Authentifizierungsdaten durch Dumping des LSASS-Prozesses (Local Security Authority Subsystem Service). Der LSASS-Prozess ist für die Verwaltung von Anmeldeinformationen wie Passwörtern und Sicherheitsrichtlinien zuständig. Durch das Dumping dieses Speichers konnten die Angreifer u.a. sensible Zugangsdaten auslesen, die ihnen den unberechtigten Zugriff auf weitere Systeme im Netzwerk ermöglichten.
Attribution
Die Cyberspionage-Kampagne "Operation FishMedley" wird laut ESET mit großer Sicherheit der APT-Gruppe "FishMonger" zugeschrieben. Diese Gruppe steht in Verbindung mit dem chinesischen IT-Dienstleister i-Soon, der nachweislich mit dem chinesischen Staat verbunden ist. Die Angreifer nutzten Tools und Techniken, die typisch für staatlich gesteuerte chinesische Cyberakteure sind. Diese Werkzeuge werden entweder ausschließlich oder häufig von solchen Gruppen verwendet, was die Assoziation weiter verstärkt.
Die Aktivitäten von FishMonger wurden von ESET erstmals während der Bürgerproteste in Hongkong im Jahr 2019 dokumentiert, als die Gruppe gezielt Universitäten angriff.
Empfehlungen
ESET stellt einen ausführlichen Bericht mit Indicators of Compromise (IOCs) und Sicherheitsempfehlungen zur Verfügung. Wir empfehlen allen Organisationen, die eigenen Systeme auf eine mögliche Betroffenheit zu überprüfen. Darüber hinaus stellt das BfV Ergebnisse eine mehrteilige Auswertung zu Hintergründen und Verbindungen des chinesischen IT-Dienstleisters i-Soon zur Verfügung.