Chinesische Hacker attackieren sechs US-Bundesstaaten

Redaktion Silicon,

Seit Monaten greife die berüchtigte chinesische Hackergruppe APT41 Netzwerke von US-Behörden an, berichtet der IT-Sicherheitsdienstleister Mandiant.

Dies sei nur ein Teil der  Erkenntnisse über eine “anhaltende, monatelange Kampagne”, resümiert der IT-Sicherheitsdienstleister Mandiant in einem Blog-Beitrag. Demnach sei es zwischen Mai 2021 und Februar 2022 zu mindestens sechs Angriffen gekommen.  Das Unternehmen hatte bereits im Mai 2021 damit begonnen, einen Angriff von APT41 auf ein Computernetzwerk der US-Bundesregierung zu untersuchen.

Eine Kampagne mit unbekanntem Ziel

APT41 ist eines der effektivsten Hacker-Gruppierungen der Welt und wird von der chinesischen Regierung unterstützt. Für Mandiant sind die übergeordneten Ziele der APT41-Kampagne nach wie vor unbekannt.  Die Gruppe APT41 trägt eine Reihe anderer Namen, darunter Double Dragon, Barium, Winnti, Wicked Panda, Wicked Spider, TG-2633, Bronze Atlas, Red Kelpie und Blackfly. APT41 habe in der Vergangenheit massenhaft Schwachstellen geortet und ausgenutzt. Die Untersuchungen der Angriffe hätten eine Vielzahl neuer Techniken, Malware-Varianten, Umgehungsmethoden und Fähigkeiten offenbart.

Die Angriffe der Hacker von APT41 zielten auf anfällige, dem Internet angeschlossene Webanwendungen, darunter eine Zero-Day-Schwachstelle in der Anwendung USAHerds (CVE-2021-44207) sowie die inzwischen berüchtigte Zero-Day-Schwachstelle in Log4j (CVE-2021-44228). So hätten sich die Hacker Zugang zu den behördlichen Netzwerken verschafft.  

Einige der Sicherheitslücken waren durch Softwarefehler entstanden, die von Experten offengelegt worden waren. Die Hacker hätten ihre Werkzeuge angepasst, um über mehrere Angriffsmethoden zu operieren, so der Bericht. “APT41′s jüngste Aktivitäten gegen die Regierungen der US-Bundesstaaten umfassen bedeutende neue Fähigkeiten, von neuen Angriffsvektoren bis hin zu nachträglichen Tools und Techniken”, erklären die Analysten. APT41 sei in der Lage, ihre ursprünglichen Zugriffstechniken schnell anzupassen, indem sie eine Umgebung über einen anderen Punkt erneut angreifen oder schnell eine neue Schwachstelle ausnutzen.

Die US-Behörden sind bereits seit einiger Zeit über APT41 informiert. Im September 2020 erhob das US-Justizministerium Anklage gegen fünf chinesische Staatsangehörige, von denen einige angeblich zu APT41 gehörten. Die Angeklagten seien in Computer von über 100 Unternehmen in den USA und im Ausland eingedrungen. Mandiant erklärte am Dienstag, APT41 habe sich von dieser Anklage “nicht abschrecken lassen”.

Hacker als Söldner

Bereits 2019 warnte der damalige Mutterkonzern von Mandiant FireEye davor, dass APT41 Cyberkriminalität gegen Geld betriebe. Es hieß, dass Mitglieder von APT41 staatlich geförderte Spionageaktivitäten sowie finanziell motivierte Operationen durchführten.

Im März 2020 warnte FireEye außerdem vor einer “breit angelegten Hacking-Kampagne”, durch APT41. Die Hacker-Gruppe hatte damals versucht, Schwachstellen in Citrix NetScaler/ADC, Cisco-Routern und Zoho ManageEngine Desktop Central bei über 75 FireEye-Kunden auszunutzen.

Anfang dieser Woche bestätigte Google, dass es den erfahrenen Cybersicherheitsspezialisten Mandiant im Rahmen einer Transaktion im Wert von rund 5,4 Milliarden US-Dollar übernehmen wird. Mandiant wird in die Google Cloud integriert werden.