Angriffe auf militärisch-industrielle Organisationen in Osteuropa

Kaspersky_news

Beitrag teilen

Kaspersky hat bereits Anfang August Angriffe auf militärisch-industrielle Organisationen und öffentliche Einrichtungen in Osteuropa und Afghanistan identifiziert. Die dabei eingesetzte Malware ähnelt der einer chinesischsprachigen APT-Gruppe.

Das Kaspersky ICS CERT hat eine Reihe zielgerichteter Angriffe gegen Industrieanlagen, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter in mehreren osteuropäischen Ländern, darunter Russland, der Ukraine und Belarus, sowie in Afghanistan identifiziert. Die APT-Akteure konnten die Kontrolle über die gesamte IT-Infrastruktur der Opfer übernehmen und Wirtschaftsspionage betreiben.

Angriffe auf Militärunternehmen und Organisationen

Im Januar 2022 haben Kaspersky-Experten mehrere fortschrittliche Angriffe auf Militärunternehmen und öffentliche Organisationen entdeckt, darunter Industrieanlagen, Designbüros, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter, die darauf abzielten, sensible Informationen zu stehlen und die Kontrolle über die IT-Systeme zu erlangen. Die von den Angreifern verwendete Malware ähnelt der von TA428 APT, einer chinesischsprachigen APT-Gruppe.

Die Angreifer infiltrieren die Unternehmensnetzwerke zielgerichtet durch sorgfältig gestaltete Spear-Phishing-Mails, von denen einige spezifische Informationen zu der jeweiligen anvisierten Organisation enthielten, die zum Zeitpunkt des E-Mail-Versands noch nicht öffentlich waren. Die Phishing-Mails enthielten ein Microsoft-Word-Dokument mit Schadcode, um eine Schwachstelle auszunutzen, mit der beliebiger Code ohne zusätzliche Aktivität ausgeführt werden kann. Die Schwachstelle existiert in veralteten Versionen des Microsoft Equation Editor, einer Komponente von Microsoft Office.

Einsatz von sechs verschiedenen Backdoors

Die Angreifer nutzten gleichzeitig sechs verschiedene Backdoors, um zusätzliche Kommunikationskanäle mit den infizierten Systemen einzurichten – für den Fall, dass eines der Schadprogramme von einer Sicherheitslösung entdeckt und entfernt wurde. Diese Backdoors bieten umfangreiche Funktionen zur Kontrolle infizierter Systeme und zum Sammeln vertraulicher Daten. Die letzte Phase des Angriffs bestand darin, den Domain-Controller zu übernehmen und die vollständige Kontrolle über alle Workstations und Server des Unternehmens zu erlangen. In einem Fall war es den Angreifern sogar möglich, das Kontrollzentrum für Cybersicherheitslösungen zu übernehmen. Nachdem die Angreifer Domain-Administratorrechte und Zugriff auf das Active Directory erhalten hatten, führten sie einen sogenannten „Golden Ticket“-Angriff durch, um sich als beliebige Nutzerkonten von Organisationen auszugeben und nach Dokumenten sowie anderen Dateien zu suchen, die vertrauliche Daten der angegriffenen Organisation enthielten. Die exfiltrierten Daten hosteten die Angreifer auf Servern in verschiedenen Ländern.

Golden-Ticket-Angriffe

„Golden-Ticket-Angriffe nutzen das Default Authentication Protocol, das seit der Verfügbarkeit von Windows 2000 verwendet wird“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte im ICS CERT Kaspersky. „Durch das Fälschen von Kerberos Ticket Granting Tickets (TGTs) innerhalb des Unternehmensnetzwerks können die Angreifer auf jeden Dienst, der zum Netzwerk gehört, zugreifen und das für unbegrenzte Zeit. Infolgedessen reicht es nicht aus, nur Passwörter zu ändern oder kompromittierte Konten zu sperren. Unsere Empfehlung: alle verdächtigen Aktivitäten sorgfältig überprüfen und vertrauenswürdige Sicherheitslösungen einsetzen.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Schwachstelle in Netgear-Router lässt externen Zugriff zu

Tenable hat eine Schwachstelle in einem neuen NETGEAR-Router entdeckt. Der beliebte WiFi 6-Router ist bekannt für seine große Flächenabdeckung und ➡ Weiterlesen

Mitarbeiter: 90 Prozent brauchen Basisschulung in Cybersicherheit

89 Prozent der Mitarbeiter in Unternehmen benötigen Cybersicherheitsschulungen. Etwa jeder Dritte Mitarbeiter kann dabei nicht ausreichend Wissen zum Umgang mit ➡ Weiterlesen

IT-Security-Teams geben Antwort zur Corporate Security

Eine Umfrage unter 500 Mitarbeitern in IT-Security-Teams zeigt, dass die Corporate Security in Sachen Schutzmaßnahmen der gestiegener Bedrohungslage hinterher hinkt. ➡ Weiterlesen

Cyber-Attacken gegen ausländische Regierung

Forscher von Avanan, berichten über Angriffe auf den karibischen Inselstaat Föderation St. Kitts und Nevis und erklären, wie Hacker dort ➡ Weiterlesen

CryWiper: Ransomware zerstört in Wirklichkeit die Daten

Die Experten von Kaspersky haben eine neue Ransomware entdeckt: CryWiper. Sie agiert zu Beginn wie eine Verschlüsselungs-Software. Aber die Daten ➡ Weiterlesen

MacOS Monterey: Endpoint-Schutz-Lösungen im Test

AV-TEST hat im September & Oktober 2022 im Labor 6 Endpoint-Schutz-Lösungen für Unternehmen unter MacOS Monterey geprüft. Zusätzlich wurden 7 ➡ Weiterlesen

Kennen Angestellte die IT-Notfallpläne im Unternehmen?

G DATA Studie zeigt: Große Unternehmen sind besser auf IT-Notfälle vorbereitet als kleine Firmen. Das belegt die aktuelle Studie „Cybersicherheit ➡ Weiterlesen

Zahl der von Datenlecks betroffenen Unternehmen bleibt hoch

Laut einer Analyse des Dark Web Monitors ist die Zahl von Datenlecks betroffener Unternehmen weiterhin sehr hoch. Allerdings sind durch ➡ Weiterlesen