SentinelOne im Fokus einer Spionagekampagne
Während Cyberangriffe weltweit zunehmen, gerät Sicherheitsanbieter SentinelOne selbst ins Fadenkreuz: Die Hackergruppe PurpleHaze, mit Verbindungen nach China, setzte zu einer gezielten Attacke auf die Infrastruktur des Unternehmens und seine wertvollsten Kunden an.
Wie die SentinelOne-Sicherheitsanalysten Tom Hegel, Aleksandar Milenkoski und Jim Walter berichten, wurden erste Hinweise auf die Gruppe während eines Angriffs auf einen früheren Hardware-Dienstleister von SentinelOne-Mitarbeitern im Jahr 2024 entdeckt.
PurpleHaze wird einer staatlich unterstützten Hackergruppe zugerechnet, die in Verbindung mit APT15 steht, auch bekannt unter den Namen Flea, Nylon Typhoon, Playful Taurus oder Vixen Panda.
Die Aktivitäten von PurpleHaze reichen weit: Im Oktober 2024 griffen die Akteure eine südasiatische Regierungsorganisation an – mithilfe eines sogenannten Operational Relay Box (ORB)-Netzwerks und einer Windows-Hintertür namens GoReShell. GoReShell basiert auf dem Open-Source-Tool reverse_ssh und ermöglicht es, verdeckte Verbindungen zu Servern der Angreifer herzustellen.
„Der Einsatz solcher ORB-Netze nimmt zu, weil sie flexible, schwer nachvollziehbare Infrastrukturen schaffen“, betonen die Experten. Das macht es Verteidigern immer schwerer, Spuren zurückzuverfolgen und Angriffe eindeutig zuzuordnen.
Doch damit nicht genug: Bereits im Juni 2024 wurde dieselbe Regierungsorganisation Ziel eines Angriffs mit der Schadsoftware ShadowPad (auch bekannt als PoisonPlug) – einem Nachfolger des berüchtigten PlugX-Trojaners. ShadowPad wurde in diesem Fall durch den speziell entwickelten ScatterBrain-Compiler verschleiert, was die Erkennung zusätzlich erschwerte.
Eine klare Verbindung zwischen den Aktivitäten im Juni und den Angriffen von PurpleHaze konnte bislang nicht zweifelsfrei hergestellt werden. Vieles deutet jedoch darauf hin, dass derselbe Akteur in beiden Fällen beteiligt war.
Insgesamt vermuten die Analysten, dass über 70 Organisationen weltweit Opfer dieser Angriffe wurden – insbesondere Unternehmen aus den Bereichen Fertigung, Regierungswesen, Finanzdienstleistungen, Telekommunikation und Forschung. Wahrscheinlich wurde dabei eine bekannte Schwachstelle in CheckPoint-Gateway-Geräten (eine sogenannte N-Day-Schwachstelle) ausgenutzt.
Auch SentinelOne selbst stand im Visier: Der frühere Hardware-Partner des Unternehmens war unter den betroffenen Organisationen. Eine direkte Kompromittierung von SentinelOne-Systemen konnte jedoch ausgeschlossen werden.
Angriffe kommen nicht nur aus China
Parallel beobachtete SentinelOne einen weiteren besorgniserregenden Trend: Nordkoreanische Hackergruppen versuchten gezielt, sich über rund 360 gefälschte Identitäten und mehr als 1.000 Bewerbungen Zugang zu sensiblen Bereichen des Unternehmens zu verschaffen, insbesondere zu den Intelligence-Teams von SentinelLabs.
Hinzu kommt, dass Ransomware-Gruppen zunehmend versuchen, Zugang zu Sicherheitstechnologien von Unternehmen wie SentinelOne zu erhalten – mit dem Ziel, deren Abwehrmechanismen besser zu verstehen und gezielt zu umgehen.
Angetrieben wird diese Entwicklung durch einen florierenden Untergrundmarkt, auf dem in speziellen Foren wie XSS[.]is, Exploit[.]in und RAMP Zugang zu Unternehmenssicherheitslösungen gehandelt wird.
„Mittlerweile bieten Cyberkriminelle sogar Services wie ‚EDR Testing-as-a-Service‘ an, um Schadprogramme in geschützten Umgebungen auf ihre Erkennbarkeit zu testen“, warnt Sentinel. Auch wenn diese Plattformen keinen vollständigen Zugriff auf Sicherheitstools gewähren, bieten sie doch semi-private Testumgebungen, die Angreifern helfen, ihre Schadsoftware gefährlicher und schwerer erkennbar zu machen.
Neue Qualität der Täuschung: Die Nitrogen-Gruppe
Eine besonders raffinierte Taktik nutzt die Hackergruppe Nitrogen, die mutmaßlich aus Russland stammt. Anders als üblich setzt Nitrogen nicht auf gestohlene Zugangsdaten, sondern täuscht Unternehmen mit penibel echt nachgebauten Webseiten, gefälschten E-Mail-Adressen und gespiegelter Infrastruktur. So gelingt es ihnen, offizielle Lizenzen für Sicherheitssoftware zu erwerben – und damit völlig legalen Zugang zu High-End-Sicherheitslösungen zu erhalten.
„Diese Art von Social Engineering ist extrem präzise“, sagen die Analysten. Nitrogen konzentriert sich gezielt auf kleine Reseller mit schwacher Identitätsprüfung – und schafft es so, trotz bestehender Sicherheitsverfahren unbemerkt in Unternehmensnetzwerke einzudringen.
Die aktuellen Erkenntnisse von SentinelOne zeigen einmal mehr: Professionelle Cyberangriffe werden raffinierter, internationaler und deutlich schwerer zu erkennen. Unternehmen müssen nicht nur ihre Infrastruktur, sondern auch ihre Lieferketten und Personalstrukturen deutlich stärker absichern, um sich gegen diese neue Qualität der Bedrohung zu wappnen.