7. April 2020 Wolfgang Franz/pi

Jahrzehntelange Spionage in Linux-Servern

BlackBerry präsentierte neue Studienergebnisse und deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten, so eine Pressmeldung. [...]

Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. (c) Joachim Roy - Fotolia
Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. (c) Joachim Roy - Fotolia

Der Bericht „Decade of the RATs“: Plattformübergreifende APT-Spionageangriffe auf Linux, Windows und Android bietet Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht. 

Besonders vor dem Hintergrund von Sicherheitsproblemen, die durch das aktuell vermehrte Arbeiten aus dem Homeoffice auftreten, ist die plattformübergreifende Eigenschaft der Angriffe besorgniserregend. Die in den Angriffen identifizierten Tools werden bereits eingesetzt, um die Homeoffice-Situation auszunutzen ebenso wie die geringere Anzahl von Mitarbeitern vor Ort, die den Schutz der entscheidenden Systeme sicherstellen. Während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben wertvolle Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen.

Linux betreibt fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation, 2020). Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die BlackBerry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen. 

„Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, sodass der Schutz für Linux nicht ausreichend ist“, so Eric Cornelius, Chief Product Architect bei BlackBerry. „Die APT-Gruppen haben diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt hat.“

Weitere wichtige Ergebnisse des Berichts sind laut Aussendung: 

  • Die in diesem Bericht untersuchten APT-Gruppen sind wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschen, so die Aussendung von BlackBerry.
  • Die APT-Gruppen haben bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum konzentriert. Es wurde jedoch festgestellt, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit besteht, insbesondere was die Linux-Plattformen anbelangt.
  • Die Untersuchung identifiziert zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von BlackBerry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben. 
  • Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstesttools, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt.
  • Die Studie untersucht mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden. 
  • Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen.

„Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde“, erklärt John McClurg, Chief Information Security Officer bei BlackBerry. „Die Ergebnisse bilden ein weiteres Kapitel in der Geschichte des chinesischen IP-Diebstahls und liefert uns neue Erkenntnisse, aus denen wir lernen können.“


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*