Beobachtungen
Ein kürzlich veröffentlichter Bericht von Google Mandiant hat eine neue Bedrohung durch den chinesischen Cyberakteur UNC3886 aufgedeckt. Diese Gruppe hat es auf Sicherheitslücken in veralteten MX-Routern von Juniper Networks abgesehen. Der Akteur nutzt Backdoors, um sich dauerhaften Zugang zu verschaffen und unentdeckt zu bleiben. Zu den Zielen dieser Cyberspionagegruppe gehören hauptsächlich Verteidigungs-, Technologie- und Telekommunikationsorganisationen.
Hintergrund und Methoden
Die Angreifer konzentrieren sich hierbei auf End-of-Life-Hard- und Software, insbesondere auf Junos OS-Routern von Juniper Networks. Mandiant hat mindestens sechs verschiedene Backdoors entdeckt, die durch den Akteur eingerichtet und verwendet werden. Diese basieren auf TinyShell. Bei TinyShell handelt es sich um eine Backdoor, die in der Programmiersprache C geschrieben ist. Sie wird von Angreifern verwendet, um Fernzugriff auf kompromittierte Systeme zu erlangen und Befehle über eine Befehlszeilenschnittstelle auszuführen. Die Malware stellt aktive Verbindungen zu den Command-and-Control-Servern der Angreifer her, über die in Echtzeit Befehle ausgeführt, Dateien übertragen und Daten exfiltriert werden können. Neben aktiven Verbindungen kann die Malware auch passive Verbindungen nutzen. Dabei wartet die Malware auf eingehende Verbindungen und wird erst aktiv, wenn sie von den Angreifern kontaktiert wird. Dadurch wird die Entdeckungswahrscheinlichkeit minimiert. Zudem ist sie in der Lage, Logging-Mechanismen auf dem Zielgerät zu deaktivieren. Die Aktivitäten der Malware werden nicht in den Systemprotokollen aufgezeichnet und sind somit schwerer zu erkennen.
Attribution
Der Cyberakteur UNC3886 ist für seine ausgefeilten und gezielten Angriffe auf Netzwerkgeräte und Virtualisierungstechnologien bekannt. In der Vergangenheit nutzte die Gruppe bereits Zero-Day-Exploits, um bis dato unbekannte Schwachstellen in diesen Geräten auszunutzen. Ihr tiefes Verständnis der zugrundeliegenden Technologie der angegriffenen Geräte ermöglicht es ihnen, maßgeschneiderte Malware zu entwickeln und effektiv einzusetzen. Ein weiteres Merkmal von UNC3886 ist das Bestreben, sich durch das Sammeln und Verwenden legitimer Anmeldeinformationen langfristig Zugang zu den Netzwerken der Opfer zu verschaffen, um unentdeckt zu bleiben. Die Kombination aus maßgeschneiderter Malware, der Verwendung legitimer Anmeldeinformationen und der Verschleierung ihrer Aktivitäten macht UNC3886 zu einer ernsthaften Bedrohung für Organisationen weltweit. Es wird vermutet, dass die Gruppe von staatlichen Akteuren in China unterstützt wird, was ihre Fähigkeiten und Ressourcen erklärt.
Empfehlungen
Mandiant stellt einen ausführlichen Bericht mit
Indicators of Compromise (IOCs) und Sicherheitsempfehlungen zur Verfügung. Wir empfehlen allen Organisationen, die eine oder mehrere
der oben genannten Hard- und Software-Lösungen einsetzen, die eigenen Systeme auf eine mögliche Betroffenheit zu
überprüfen und vor allem End-of-Life-Hard- und Software schnellstmöglich zu ersetzen.