Visual-Studio-Code im Visier der Hacker : Cyberspionage: Visual-Studio-Code als Hintertür
Eine mutmaßlich chinesische Cyberspionagegruppe hat unter dem Namen Operation Digital Eye gezielte Angriffe auf große IT-Dienstleister in Südeuropa gestartet – mit dem Ziel, sensible Unternehmensdaten auszuspionieren.
Die Angriffe ereigneten sich zwischen Ende Juni und Mitte Juli 2024, wie die Cybersicherheitsunternehmen SentinelOne SentinelLabs und Tinexta Cyber in einem gemeinsamen Bericht mitteilen. Die Aktivitäten wurden rechtzeitig entdeckt und gestoppt, bevor die Angreifer Daten exfiltrieren konnten. „Die Angriffe hätten es den Tätern ermöglichen können, sich strategisch in den Systemen zu verankern und nachgelagerte Einrichtungen zu kompromittieren“, erklären die Sicherheitsforscher Aleksandar Milenkoski und Luigi Martire.
Die Angreifer nutzten Visual Studio Code und die Microsoft-Azure-Infrastruktur für Command-and-Control-Zwecke (C2). Um der Entdeckung zu entgehen, tarnten sie ihre schädlichen Aktivitäten als legitime Vorgänge.
Welche spezifische, mit China verbundene Hackergruppe hinter den Angriffen steckt, ist derzeit unklar. Dies liegt daran, dass viele Bedrohungsakteure in der Region häufig die gleichen Tools und Infrastrukturen nutzen. Das erschwert die Zuordnung der Angriffe.
Legitime Funktion als Ausgangspunkt für Angriffe
Bei der Operation Digital Eye steht der Missbrauch der Visual Studio Code Remote-Tunnel-Funktion im Fokus. Diese eigentlich legitime Microsoft-Funktion ermöglicht Fernzugriff auf Endgeräte und erlaubt es Angreifern, beliebige Befehle auszuführen und Dateien zu manipulieren.
Staatlich unterstützte Hacker nutzen gerne öffentliche Cloud-Infrastrukturen, um ihre Aktivitäten im normalen Netzwerkverkehr zu verschleiern. Gleichzeitig greifen sie auf legitime Programme zurück, die durch Sicherheitsmaßnahmen wie Anwendungskontrollen oder Firewall-Regeln nicht blockiert werden.
Die beobachteten Angriffe beginnen mit einer SQL-Injection als Einstiegspunkt, um in Internet-Anwendungen und Datenbank-Server einzudringen. Die Angreifer verwenden dabei SQLmap, ein Penetrationstest-Tool, das SQL-Schwachstellen automatisiert erkennt und ausnutzt.
Nach einem erfolgreichen Zugriff installieren die Hacker eine PHP-basierte Web-Shell namens PHPsert, die ihnen dauerhaften Fernzugriff auf das System ermöglicht. Anschließend erkunden sie das Netzwerk, sammeln Anmeldeinformationen und dringen in weitere Systeme ein. Dafür nutzen sie das Remote Desktop Protocol (RDP) und Techniken wie Pass-the-Hash, um sich seitlich im Netzwerk zu bewegen.
Für die Pass-the-Hash-Angriffe nutzten die Angreifer eine modifizierte Version von Mimikatz, berichten die Experten. Dieses Tool ermöglicht es, Prozesse im Sicherheitskontext eines Benutzers auszuführen. Dabei kommt ein kompromittierter NTLM-Passwort-Hash zum Einsatz, der die Abfrage des aktuell gültigen Passworts umgeht.
Tools nutzen verbreitete Code-Basis
Der Quellcode der verwendeten Tools zeigt deutliche Überschneidungen mit Werkzeugen, die bereits bei früheren chinesischen Cyberspionage-Aktivitäten beobachtet wurden, wie bei Operation Soft Cell und Operation Tainted Love. Diese speziellen Mimikatz-Modifikationen, die durch gemeinsame Code-Signaturen, benutzerdefinierte Fehlermeldungen und besondere Verschleierungstechniken auffallen, werden unter dem Namen mimCN zusammengefasst.
„Die kontinuierliche Weiterentwicklung der mimCN-Tools und spezifische Merkmale wie Anweisungen für Operator-Teams deuten darauf hin, dass ein gemeinsamer Anbieter oder ‚digitaler Quartiermeister‘ für die Pflege und Bereitstellung dieser Werkzeuge verantwortlich ist“, so die Security-Spezialisten. Dies bestätigen auch die I-Soon-Leaks, was auf die Schlüsselrolle solcher Anbieter im chinesischen APT-Ökosystem (Advanced Persistent Threat) hinweist, um Cyberspionage-Operationen zu erleichtern.
Ein weiteres bemerkenswertes Element der Angriffe ist der Einsatz von SSH und Visual Studio Code Remote-Tunnel. Die Angreifer nutzten GitHub-Konten, um sich zu authentifizieren und über die browserbasierte Version von Visual Studio Code (vscode.dev) auf die kompromittierten Endpunkte zuzugreifen.
Ob die Bedrohungsakteure dabei neu registrierte, kompromittierte oder selbst erstellte GitHub-Konten zur Authentifizierung verwendeten, ist bisher unklar.
Neben den mimCN-Tools gibt es weitere Hinweise, die auf China als Ursprung der Angriffe deuten. Dazu gehören vereinfachte chinesische Kommentare im Code der PHPsert-Web-Shell, die Nutzung der Infrastruktur des rumänischen Hosting-Anbieters M247 sowie der Einsatz von Visual Studio Code als Hintertür. Letzteres wurde bereits früher der Gruppe Mustang Panda zugeschrieben.
Die Untersuchung zeigte außerdem, dass die Angreifer vor allem während der typischen Arbeitszeiten in China aktiv waren, also zwischen 9 und 21 Uhr CST (China Standard Time).
Die Kampagne zeigt die hohe strategische Bedeutung solcher Angriffe: Wenn Angreifer in Unternehmen eindringen, die Daten, IT-Infrastruktur oder Cybersicherheitslösungen für andere Branchen bereitstellen, können sie sich Zugang zur gesamten digitalen Lieferkette verschaffen. Dadurch können sie ihre Angriffe auf nachgelagerte Unternehmen ausweiten.
Der Missbrauch von Visual-Studio-Code Remote-Tunnels zeigt einmal mehr, wie chinesische APT-Gruppen (Advanced Persistent Threats) auf bewährte und effektive Methoden setzen, um unentdeckt zu bleiben. Durch die Nutzung von vertrauenswürdigen Entwicklungstools und bekannter Infrastruktur versuchen sie, ihre bösartigen Aktivitäten als legitim erscheinen zu lassen.