Mutmaßliche staatlich unterstützte chinesische Hacker nutzten Berichten zufolge eine Sicherheitslücke in einer beliebten E-Mail-Sicherheitsanwendung, um in die Netzwerke von Hunderten von Organisationen des öffentlichen und privaten Sektors auf der ganzen Welt einzudringen, fast ein Drittel davon Regierungsbehörden, darunter Außenministerien, so das von Google unterstützte Cybersicherheitsunternehmen Mandiant genannt. Das Unternehmen nannte es
Die umfassendste bekannte Cyberspionagekampagne eines China-Nexus-Bedrohungsakteurs seit der Massenausnutzung von Microsoft Exchange Anfang 2021.
In einem Blogbeitrag äußerte Mandiant „hohes Vertrauen“, dass die Gruppe, die eine Software-Schwachstelle im E-Mail Security Gateway von Barracuda Networks ausnutzte, an „Spionageaktivitäten zur Unterstützung der Volksrepublik China“ beteiligt war. Es hieß, die Aktivität habe bereits im Oktober 2022 begonnen. Barracuda gab am 6. Juni bekannt, dass einige seiner E-Mail-Sicherheitsgeräte gehackt worden seien, was Hackern eine Hintertür in kompromittierte Netzwerke verschafft habe. Der Hack soll so schwerwiegend gewesen sein, dass das kalifornische Unternehmen den vollständigen Austausch der Geräte empfohlen habe.
Unternehmen auf der ganzen Welt im Visier
Laut Mandiant verschickten die Hacker E-Mails mit schädlichen Dateianhängen, um Zugriff auf die Geräte und Daten der Zielorganisationen zu erhalten. Von diesen Organisationen stammten 55 % aus Amerika, 22 % aus dem asiatisch-pazifischen Raum und 24 % aus Europa, dem Nahen Osten und Afrika. Dazu gehörten Außenministerien in Südostasien, Außenhandelsämter und akademische Organisationen in Taiwan und Hongkong. Diese Codefamilien – SALTWATER, SEASPYund SEASIDE – wurden bei den meisten Einbrüchen identifiziert.
Die beobachteten E-Mails enthielten generische Betreff- und Textinhalte, in der Regel mit schlechter Grammatik und in einigen Fällen mit Platzhalterwerten. Mandiant stellte fest, dass der Text und der Betreff der Nachricht als generischer Spam erschienen, um von Spam-Filtern markiert zu werden oder Sicherheitsanalysten davon abzuhalten, eine umfassende Untersuchung durchzuführen. Es wurde außerdem beobachtet, dass diese Taktik in der Vergangenheit von fortgeschrittenen Gruppen genutzt wurde, um Zero-Day-Schwachstellen auszunutzen.
Politische Spionage wahrscheinlich
Mandiant sagte, dass sich die Ausrichtung sowohl auf Organisations- als auch auf Einzelkontoebene auf Themen konzentrierte, die für China hohe politische Priorität haben, insbesondere im asiatisch-pazifischen Raum. Es hieß, die Hacker hätten nach E-Mail-Konten von Personen gesucht, die für Regierungen von politischem oder strategischem Interesse für China arbeiteten, als sie an diplomatischen Treffen mit anderen Ländern teilnahmen.
Unternehmen im Visier
Zu den Zielorganisationen zählen weltweit der öffentliche und private Sektor. Was die Rohdaten betrifft, die die USA betreffen, haben Hacker OPM, Anthem, Equifax und Marriott ins Visier genommen.
Die umfassendste bekannte Cyberspionagekampagne eines China-Nexus-Bedrohungsakteurs seit der Massenausnutzung von Microsoft Exchange Anfang 2021.
In einem Blogbeitrag äußerte Mandiant „hohes Vertrauen“, dass die Gruppe, die eine Software-Schwachstelle im E-Mail Security Gateway von Barracuda Networks ausnutzte, an „Spionageaktivitäten zur Unterstützung der Volksrepublik China“ beteiligt war. Es hieß, die Aktivität habe bereits im Oktober 2022 begonnen. Barracuda gab am 6. Juni bekannt, dass einige seiner E-Mail-Sicherheitsgeräte gehackt worden seien, was Hackern eine Hintertür in kompromittierte Netzwerke verschafft habe. Der Hack soll so schwerwiegend gewesen sein, dass das kalifornische Unternehmen den vollständigen Austausch der Geräte empfohlen habe.
Unternehmen auf der ganzen Welt im Visier
Laut Mandiant verschickten die Hacker E-Mails mit schädlichen Dateianhängen, um Zugriff auf die Geräte und Daten der Zielorganisationen zu erhalten. Von diesen Organisationen stammten 55 % aus Amerika, 22 % aus dem asiatisch-pazifischen Raum und 24 % aus Europa, dem Nahen Osten und Afrika. Dazu gehörten Außenministerien in Südostasien, Außenhandelsämter und akademische Organisationen in Taiwan und Hongkong. Diese Codefamilien – SALTWATER, SEASPYund SEASIDE – wurden bei den meisten Einbrüchen identifiziert.
Die beobachteten E-Mails enthielten generische Betreff- und Textinhalte, in der Regel mit schlechter Grammatik und in einigen Fällen mit Platzhalterwerten. Mandiant stellte fest, dass der Text und der Betreff der Nachricht als generischer Spam erschienen, um von Spam-Filtern markiert zu werden oder Sicherheitsanalysten davon abzuhalten, eine umfassende Untersuchung durchzuführen. Es wurde außerdem beobachtet, dass diese Taktik in der Vergangenheit von fortgeschrittenen Gruppen genutzt wurde, um Zero-Day-Schwachstellen auszunutzen.
Politische Spionage wahrscheinlich
Mandiant sagte, dass sich die Ausrichtung sowohl auf Organisations- als auch auf Einzelkontoebene auf Themen konzentrierte, die für China hohe politische Priorität haben, insbesondere im asiatisch-pazifischen Raum. Es hieß, die Hacker hätten nach E-Mail-Konten von Personen gesucht, die für Regierungen von politischem oder strategischem Interesse für China arbeiteten, als sie an diplomatischen Treffen mit anderen Ländern teilnahmen.
Unternehmen im Visier
Zu den Zielorganisationen zählen weltweit der öffentliche und private Sektor. Was die Rohdaten betrifft, die die USA betreffen, haben Hacker OPM, Anthem, Equifax und Marriott ins Visier genommen.