Intern ist es bestimmt der größte Verrat an China: Ein Mitarbeiter der Firma I-Soon hat Daten und Dienste preisgegeben mit denen ausländische Unternehmen und Regierungen angegriffen werden. China dementiert das Thema Auslands-Hacker, aber die geleakten Daten sind erdrückend und die Preisgabe der Leistungsfähigkeit der Tools erinnert an den Tag der Snoden-Leaks. Nun hat China seinen eigenen Snowden.
Laut Recherchen der Spezialisten von Malwarebytes und SentinelOne ist folgendes passiert: Die Daten eines chinesischen Cybersicherheitsanbieters, der für die chinesische Regierung arbeitet, haben eine Reihe von Hacking-Tools und -Diensten aufgedeckt . Obwohl die Quelle nicht ganz klar ist, scheint es, dass ein verärgerter Mitarbeiter der Gruppe die Informationen absichtlich preisgegeben hat.
Hacker in chinesischen Staatsdiensten
Bei dem Anbieter i-Soon (alias Anxun) handelt es sich vermutlich um einen privaten Auftragnehmer, der als Advanced Persistent Threat (APT) für das chinesische Ministerium für öffentliche Sicherheit (MPS) tätig ist. Die durchgesickerten Daten sind in einige Gruppen unterteilt, z. B. Beschwerden über das Unternehmen, Chat-Aufzeichnungen, Finanzinformationen, Produkte, Mitarbeiterinformationen und Details über ausländische Infiltration. Den durchgesickerten Daten zufolge hat i-Soon mehrere Regierungsstellen infiltriert, darunter solche aus Indien, Thailand, Vietnam, Südkorea und der NATO.
Einige der Tools, die i-Soon verwendet hat, sind beeindruckend genug. Einige Highlights:
- Twitter (jetzt X)-Stealer: Zu den Funktionen gehören das Abrufen der Twitter-E-Mail-Adresse und Telefonnummer des Benutzers, Echtzeitüberwachung, Lesen persönlicher Nachrichten und Veröffentlichen von Tweets im Namen des Benutzers.
- Benutzerdefinierte RATs (Remote Access Trojans) für Windows x64/x86: Zu den Funktionen gehören Prozess-/Dienst-/Registrierungsverwaltung, Remote-Shell, Keylogging, Dateizugriffsprotokollierung, Abrufen von Systeminformationen, Remote-Verbindungstrennung und Deinstallation.
- Die iOS-Version des RAT behauptet außerdem, alle iOS-Geräteversionen ohne Jailbreak zu autorisieren und zu unterstützen, mit Funktionen wie Hardwareinformationen, GPS-Daten, Kontakten, Mediendateien und Echtzeit-Audioaufzeichnungen als Erweiterung. (Hinweis: Dieser Teil stammt aus dem Jahr 2020)
- Die Android-Version kann Nachrichten von allen beliebten chinesischen Chat-Apps QQ, WeChat, Telegram und MoMo sichern und ist in der Lage, die System-App für Persistenz gegen interne Wiederherstellung anzuheben.
- Tragbare Geräte zum Angriff auf Netzwerke von innen.
- Spezielle Ausrüstung für im Ausland tätige Mitarbeiter zur Herstellung einer sicheren Kommunikation.
- Benutzersuchdatenbank, die Benutzerdaten einschließlich Telefonnummer, Name und E-Mail auflistet und mit Social-Media-Konten korreliert werden kann.
- Gezieltes Szenario-Framework für automatische Penetrationstests.
Regierungen und auch NATO waren die Ziele
Während einige der Informationen veraltet sind, bieten die durchgesickerten Daten einen Einblick in die Abläufe bei einem führenden Spyware-Anbieter und APT-for-Hire. In den nächsten Wochen und Monaten wird der Fund bestimmt noch für einige Diskussionen in der internationalen Diplomatie führen. Viele Länder werden aufgrund der Hinweise die Lücken in ihrer nationalen Sicherheit aufdecken. Laut den Unternehmen Malwarebytes und SentinelOne ist erst die Spitze des Eisbergs freigelegt. Es gibt wohl noch viel Material zum Übersetzen. Das wird zwar noch weitere Monate dauern, wird aber viele wichtige Erkenntnisse über die Staatshacker aus China liefern.
Mehr bei Malwarebytes.com Mehr bei SentinelOne.com
Über Malwarebytes Malwarebytes schützt Privatanwender und Unternehmen vor gefährlichen Bedrohungen, Ransomware und Exploits, die von Antivirenprogrammen nicht erkannt werden. Malwarebytes ersetzt dabei vollständig andere Antivirus-Lösungen, um moderne Cybersecurity-Bedrohungen für Privatanwender und Unternehmen abzuwenden. Mehr als 60.000 Unternehmen und Millionen Nutzer vertrauen Malwarebytes innovativen Machine-Learning-Lösungen und seinen Sicherheitsforschern, um aufkommende Bedrohungen abzuwenden und Malware zu beseitigen, die antiquierte Security-Lösungen nicht entdecken. Mehr Informationen finden Sie auf www.malwarebytes.com.
Über SentinelOne SentinelOne ist ein weltweit führender Anbieter von KI-Sicherheit. Die Singularity-Plattform erkennt, verhindert und reagiert auf Cyberangriffe in Maschinengeschwindigkeit – und ermöglicht es Unternehmen, ihre Endpunkte, Cloud-Workloads, Container, digitalen Identitäten sowie mobilen und mit dem Netzwerk verbundenen Geräte schnell, präzise und einfach abzusichern.