Kaspersky hat bereits Anfang August Angriffe auf militärisch-industrielle Organisationen und öffentliche Einrichtungen in Osteuropa und Afghanistan identifiziert. Die dabei eingesetzte Malware ähnelt der einer chinesischsprachigen APT-Gruppe.
Das Kaspersky ICS CERT hat eine Reihe zielgerichteter Angriffe gegen Industrieanlagen, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter in mehreren osteuropäischen Ländern, darunter Russland, der Ukraine und Belarus, sowie in Afghanistan identifiziert. Die APT-Akteure konnten die Kontrolle über die gesamte IT-Infrastruktur der Opfer übernehmen und Wirtschaftsspionage betreiben.
Angriffe auf Militärunternehmen und Organisationen
Im Januar 2022 haben Kaspersky-Experten mehrere fortschrittliche Angriffe auf Militärunternehmen und öffentliche Organisationen entdeckt, darunter Industrieanlagen, Designbüros, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter, die darauf abzielten, sensible Informationen zu stehlen und die Kontrolle über die IT-Systeme zu erlangen. Die von den Angreifern verwendete Malware ähnelt der von TA428 APT, einer chinesischsprachigen APT-Gruppe.
Die Angreifer infiltrieren die Unternehmensnetzwerke zielgerichtet durch sorgfältig gestaltete Spear-Phishing-Mails, von denen einige spezifische Informationen zu der jeweiligen anvisierten Organisation enthielten, die zum Zeitpunkt des E-Mail-Versands noch nicht öffentlich waren. Die Phishing-Mails enthielten ein Microsoft-Word-Dokument mit Schadcode, um eine Schwachstelle auszunutzen, mit der beliebiger Code ohne zusätzliche Aktivität ausgeführt werden kann. Die Schwachstelle existiert in veralteten Versionen des Microsoft Equation Editor, einer Komponente von Microsoft Office.
Einsatz von sechs verschiedenen Backdoors
Die Angreifer nutzten gleichzeitig sechs verschiedene Backdoors, um zusätzliche Kommunikationskanäle mit den infizierten Systemen einzurichten – für den Fall, dass eines der Schadprogramme von einer Sicherheitslösung entdeckt und entfernt wurde. Diese Backdoors bieten umfangreiche Funktionen zur Kontrolle infizierter Systeme und zum Sammeln vertraulicher Daten. Die letzte Phase des Angriffs bestand darin, den Domain-Controller zu übernehmen und die vollständige Kontrolle über alle Workstations und Server des Unternehmens zu erlangen. In einem Fall war es den Angreifern sogar möglich, das Kontrollzentrum für Cybersicherheitslösungen zu übernehmen. Nachdem die Angreifer Domain-Administratorrechte und Zugriff auf das Active Directory erhalten hatten, führten sie einen sogenannten „Golden Ticket“-Angriff durch, um sich als beliebige Nutzerkonten von Organisationen auszugeben und nach Dokumenten sowie anderen Dateien zu suchen, die vertrauliche Daten der angegriffenen Organisation enthielten. Die exfiltrierten Daten hosteten die Angreifer auf Servern in verschiedenen Ländern.
Golden-Ticket-Angriffe
„Golden-Ticket-Angriffe nutzen das Default Authentication Protocol, das seit der Verfügbarkeit von Windows 2000 verwendet wird“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte im ICS CERT Kaspersky. „Durch das Fälschen von Kerberos Ticket Granting Tickets (TGTs) innerhalb des Unternehmensnetzwerks können die Angreifer auf jeden Dienst, der zum Netzwerk gehört, zugreifen und das für unbegrenzte Zeit. Infolgedessen reicht es nicht aus, nur Passwörter zu ändern oder kompromittierte Konten zu sperren. Unsere Empfehlung: alle verdächtigen Aktivitäten sorgfältig überprüfen und vertrauenswürdige Sicherheitslösungen einsetzen.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/