Datenklau im industriellen Maßstab
Ein als ToddyCat bekannter Angreifer dringt derzeit in gehackte Systeme ein und stiehlt wertvolle Daten. Angeblich nutzt er eine Auswahl moderner Programme, um in "industriellem Maßstab" Daten von hauptsächlich staatlichen Organisationen im asiatisch-pazifischen Raum abzugreifen. Pikanterweise bleibt auch der Verteidigungssektor nicht verschont.
Sicherheitsexperten von Kaspersky erklären, dass der Akteur Massen von Computern angreift, um Daten im ganz großen Stil zu sammeln. Dazu automatisiert er die Datenerfassung und verwendet mehrere Methoden, um kontinuierlich auf die Systeme zuzugreifen und sie zu überwachen.
Kaspersky hat ToddyCat erstmals im Juni 2022 im Zusammenhang mit einer Serie von Cyberangriffen dokumentiert, die seit mindestens Dezember 2020 auf Regierungs- und Militäreinrichtungen in Europa und Asien abzielen. Bei diesen Angriffen wurde eine passive Backdoor namens Samurai genutzt, um den Fernzugriff auf die betroffenen Computer zu ermöglichen.
Nähere Untersuchungen der Vorgehensweise des Bedrohungsakteurs haben weitere Datenexfiltrationstools wie LoFiSe und Pcexter aufgedeckt. Diese wurden genutzt, um Daten zu sammeln und Archivdateien auf Microsoft OneDrive hochzuladen.
Bei den neuesten Programmen handelt es sich um eine erlesene Mischung verschiedener Tunnel-Software zum Sammeln von Daten. Sie kommen zum Einsatz, sobald der Angreifer Zugriff auf privilegierte Benutzerkonten im infizierten System erhalten hat. Dazu gehören:
- Umgekehrter SSH-Tunnel unter Verwendung von OpenSSH,
- SoftEther VPN, das in scheinbar harmlose Dateien wie „boot.exe“, „mstime.exe“, „netscan.exe“ und „kaspersky.exe“ umbenannt wird,
- Ngrok und Krong zur Verschlüsselung und Umleitung von Command-and-Control (C2)-Verkehr an einen bestimmten Port auf dem Zielsystem,
- FRP-Client, ein schneller Open-Source Reverse-Proxy auf Golang-Basis,
- Cuthead, eine .NET-kompilierte ausführbare Datei zur Suche nach Dokumenten, die einer bestimmten Erweiterung oder einem Dateinamen entsprechen, oder nach dem Datum, an dem sie geändert wurden,
- WAExp, ein .NET-Programm zum Erfassen von Daten, die mit der WhatsApp-Web-Anwendung verbunden sind, und zum Speichern dieser Daten in einem Archiv, und
- TomBerBil zum Extrahieren von Cookies und Anmeldeinformationen aus Web-Browsern wie Google Chrome und Microsoft Edge.
Um den Zugriff aufrechtzuerhalten, nutzen die Angreifer mehrere gleichzeitige Verbindungen von den infizierten Endpunkten zu ihrer kontrollierten Infrastruktur. Sie verwenden hierfür verschiedene Tools. Das Ganze dient als Ausfallsicherung, um den Zugriff aufrechtzuerhalten, falls einer der Tunnel entdeckt und abgeschaltet wird.
Kaspersky berichtet, dass die Angreifer aktiv Techniken einsetzen, um Sicherheitsmaßnahmen zu umgehen und ihre Anwesenheit im System zu verbergen.
Um die Unternehmensinfrastruktur zu schützen, wird empfohlen, die Ressourcen und IP-Adressen von Cloud-Diensten, die Traffic-Tunneling verwenden, in die Sperrliste der Firewall aufzunehmen. Außerdem sollten Benutzer angewiesen werden, keine Passwörter in ihren Browsern zu speichern, da dies Angreifern den Zugriff auf sensible Informationen erleichtern kann.
Zudem können Unternehmen auch Systeme zur Angriffserkennung einsetzen. Wie das geht, erfahren Sie zum Beispiel im Artikel „Keine Wahl und doch die Qual – Angriffserkennungssysteme, Detektion und Reaktion im KRITIS-Umfeld“.