Chinesische Hackergruppe geht auf Datenraubzug

„Blackwood“-Hacker spionieren in UK, China und Japan mit raffinierter Schadsoftware. [...]

Foto: MohamedHassan/Pixabay

Cyberkriminelle finden immer wieder findige Wege, um an wertvolle Daten zu gelangen. Wie ESET Forscher entdeckt haben, macht eine bisher unbekannte, aus China stammende Hackergruppe mit einem neuen Tool namens NSPX30 Jagd auf Daten.

Das Besondere dabei: Anstatt den Nutzer über schadhafte E-Mail-Anhänge und Webseiten zu infizieren, kommt es per offiziellen App-Updates auf seine Zielsysteme. Seit 2018 spioniert „Blackwood“, wie das Team um den ESET Forscher Facundo Muñoz die Gruppe genannt hat, Personen und Unternehmen im Vereinigten Königreich, China und Japan aus.

Ist die Malware erst einmal installiert, fängt sie sofort an, Daten zu sammeln und an ihre Hintermänner weiterzuleiten. Dazu gehören Screenshots, auf dem Gerät gespeicherte Informationen sowie Tastaturanschläge. Das genaue Angriffsmuster und wie die Gruppe ihre Identität verschleiert, ist allerdings noch unbekannt:

„Wie genau die Angreifer in der Lage sind, NSPX30 als bösartige Updates auszuliefern, ist uns nicht bekannt, da wir das Tool, mit dem die Kriminellen ihre Ziele zunächst kompromittieren, noch nicht entdeckt haben“, erklärt ESET Forscher Facundo Muñoz, der NSPX30 und Blackwood entdeckt hat.

„Wir vermuten jedoch, dass die Angreifer die Schadsoftware in den Netzwerken ihrer Opfer einsetzen, indem sie sie auf anfälligen Netzwerkgeräten wie Routern oder Gateways installieren. Dafür sprechen unsere Erfahrungen mit ähnlichen chinesischen Bedrohungsakteuren sowie mit jüngsten Untersuchungen von Router-Implantaten, die einer anderen chinesischen Gruppe, MustangPanda, zugeschrieben werden“.

Wer sind die Opfer von Blackwood?

Zu den Zielen der neuen Hackergruppe gehören nicht identifizierte Personen in China und Japan und eine nicht identifizierte chinesischsprachige Person, die mit dem Netzwerk einer renommierten öffentlichen Forschungsuniversität in Großbritannien verbunden ist. Auch ein großes Produktions- und Handelsunternehmen in China sowie dort ansässige Niederlassungen eines japanischen Produktionsunternehmens sind ins Fadenkreuz von Blackwood geraten.

Wie ESET Forscher beobachtet haben, ist es für die betroffenen Personen und Organisationen nicht leicht, die Angriffe endgültig abzuwehren: Die Akteure versuchen immer wieder, die Systeme ihrer Opfer zu kompromittieren, sobald der Zugriff verloren geht.

China-Hacker nutzen hartnäckiges Cyber-Implantat

Blackwood ist eine Advanced Persistent Threat (APT)-Gruppe, die vom chinesischen Staat finanziert wird und seit mindestens 2018 aktiv ist. Seitdem hat sie vor allem durch Cyberspionage-Kampagnen gegen chinesische und japanische Einzelpersonen sowie Unternehmen durchgeführt. Dabei bevorzugt sie die Adversary-in-the-Middle(AitM)-Methode: Cyberkriminelle setzen sich hierbei in die Kommunikation zwischen dem Nutzer und einem legitimen Dienst und können damit sogar Sicherungsmechanismen wie eine Multi-Faktor-Authentifizierung umgehen.

Bei ihren Attacken griff die Blackwood-Gruppe auf ein Tool mit dem kryptischen Namen NSPX30 zurück. Dabei handelt es sich um ein sogenanntes Implantat, also eine Malware, die Hackern weitreichenden Zugang zu den Systemen seiner Opfer erlaubt. Die Grundversion dieses Tools tauchte bereits 2005 erstmalig auf.

Dieses Implantat enthält verschiedene Funktionen, darunter einen Dropper, einen Installer, einen Orchestrator und eine Backdoor. Mit den beiden letzten Funktionen können die Hacker Anwendungen wie Skype, Telegram und die vor allem in China beliebten Messenger-Dienste Tencent QQ und WeChat ausspionieren. Zwei Funktionen machen das Implantat besonders hinterhältig:

  • NSPX30 kann sich in verschiedene chinesische Anti-Malware-Lösungen einschleusen, um einer Erkennung zu entgehen
  • Die Installation erfolgt über ein offizielles Update: Versuchen Anwendungen wie der Messenger Tencent QQ oder die Office-Apps Sogou Pinyin und WPS Office Updates über eine unverschlüsselte Verbindung herunterzuladen, installiert sich das Implantat gleich mit. Opfer müssen noch nicht einmal auf eine kompromittierte Seite gehen oder auf einen Phishing-Link klicken, um sich zu infizieren.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*