EastWind: China-Hacker greifen Firmen und Behörden in Russland an
Aktuell wird China derzeit oft als wichtiger Verbündetet Russlands angesehen. Dass die Partnerschaft aber nur so lange währt, bis China sich anderweitig Vorteile verspricht, zeigt sich in massiven Cyber-Angriffen auf russische Behörden und Organisationen.
Laut den Sicherheitsforschern wurde der GrewApacha-RAT seit mindestens 2021 von der Hackergruppe APT31 eingesetzt, die enge Verbindungen zu staatlichen Organisationen haben soll - was letztlich meist eine Umschreibung dafür ist, dass es sich faktisch um eine Geheimdienst-Operation handelt. PlugY weist unter dessen Ähnlichkeiten mit Werkzeugen auf, die von der chinesischen Gruppe APT27 genutzt werden.
Besonders PlugY wird derzeit noch analysiert, aber es ist sehr wahrscheinlich, dass es auf dem Code der DRBControl-Backdoor basiert, die ebenfalls mit APT27 in Verbindung gebracht wird. Obwohl Kaspersky die jüngsten Angriffe nicht direkt APT31 oder APT27 zuschreibt, deuten die verwendeten Tools auf eine Verbindung zu diesen Gruppen hin.
Die Angreifer verwendeten außerdem eine aktualisierte Version der CloudSorcerer-Backdoor, um Daten von russischen Regierungsbehörden zu stehlen. Diese hoch entwickelte Spionage-Software nutzt legitime Cloud-Dienste wie Yandex Cloud und Dropbox, um Daten unbemerkt zu überwachen und zu sammeln. In der aktualisierten Version wurden die russische Blogging-Plattform LiveJournal und die Frage-und-Antwort-Website Quora als initiale Kommando- und Kontrollserver genutzt.
Ähnliche Angriffsmethoden wurden zuvor von der US-amerikanischen Cybersicherheitsfirma Proofpoint entdeckt, die eine Schadsoftware identifizierte, die große Ähnlichkeiten mit CloudSorcerer aufwies und eine Organisation in den USA ins Visier nahm. Die zunehmende Bedrohung durch chinesische Hackergruppen unterstreicht die wachsenden Spannungen im Bereich der Cybersicherheit, insbesondere zwischen Russland und China.
Siehe auch:
Mehrere Malwares im Einsatz
Laut eines Berichts der russischen Sicherheitsfirma Kaspersky Labs wurden diverse Malware-Infektionen gefunden, die in Verbindung mit bekannten chinesischen Bedrohungsakteuren stehen. Die Angriffe, die von Kaspersky unter dem Namen "EastWind" zusammengefasst werden, begannen Ende letzten Monats. Die Hacker setzten dabei den Remote-Access-Trojaner (RAT) GrewApacha, eine bisher unbekannte PlugY-Backdoor sowie eine aktualisierte Version der CloudSorcerer-Malware ein. Diese Werkzeuge wurden bereits zuvor verwendet, um russische Organisationen auszuspionieren.Laut den Sicherheitsforschern wurde der GrewApacha-RAT seit mindestens 2021 von der Hackergruppe APT31 eingesetzt, die enge Verbindungen zu staatlichen Organisationen haben soll - was letztlich meist eine Umschreibung dafür ist, dass es sich faktisch um eine Geheimdienst-Operation handelt. PlugY weist unter dessen Ähnlichkeiten mit Werkzeugen auf, die von der chinesischen Gruppe APT27 genutzt werden.
Besonders PlugY wird derzeit noch analysiert, aber es ist sehr wahrscheinlich, dass es auf dem Code der DRBControl-Backdoor basiert, die ebenfalls mit APT27 in Verbindung gebracht wird. Obwohl Kaspersky die jüngsten Angriffe nicht direkt APT31 oder APT27 zuschreibt, deuten die verwendeten Tools auf eine Verbindung zu diesen Gruppen hin.
Schwerpunkt auf Spionage
Die Angriffe begannen ganz klassisch mit Phishing-E-Mails, die Archive enthielten, in denen die Malware versteckt war. Im ersten Schritt des Angriffs nutzten die Täter eine DLL-Datei, die in Windows-Systeme eingeschleust wurde und weitergehende Informationen über die infizierten Geräte zu sammeln und zusätzliche schädliche Tools nachzuladen.Die Angreifer verwendeten außerdem eine aktualisierte Version der CloudSorcerer-Backdoor, um Daten von russischen Regierungsbehörden zu stehlen. Diese hoch entwickelte Spionage-Software nutzt legitime Cloud-Dienste wie Yandex Cloud und Dropbox, um Daten unbemerkt zu überwachen und zu sammeln. In der aktualisierten Version wurden die russische Blogging-Plattform LiveJournal und die Frage-und-Antwort-Website Quora als initiale Kommando- und Kontrollserver genutzt.
Ähnliche Angriffsmethoden wurden zuvor von der US-amerikanischen Cybersicherheitsfirma Proofpoint entdeckt, die eine Schadsoftware identifizierte, die große Ähnlichkeiten mit CloudSorcerer aufwies und eine Organisation in den USA ins Visier nahm. Die zunehmende Bedrohung durch chinesische Hackergruppen unterstreicht die wachsenden Spannungen im Bereich der Cybersicherheit, insbesondere zwischen Russland und China.
Zusammenfassung
- China wird oft als Russlands Verbündeter angesehen
- Cyber-Angriffe auf Russland zeigen Chinas wahre Interessen
- Kaspersky Labs identifiziert Malware von chinesischen Hackern
- Angriffe nutzen GrewApacha-RAT und PlugY-Backdoor
- CloudSorcerer-Malware stiehlt Daten russischer Behörden
- Hacker nutzen Phishing und Cloud-Dienste für Spionage
- Spannungen zwischen Russland und China im Cyberraum wachsen
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen