US-Regierungs-E-Mail-Dienst in einer gezielten Kampagne gehackt

Die Bedrohungsintelligenzlösung Firma Mandiant berichtet, dass chinesische Hacker übermäßig Regierungs- und regierungsnahe Organisationen in den letzten Angriffen ins Visier genommen und in diese eingedrungen sind, die den Barracuda Email Security Gateway, eine Zero-Day-Sicherheitsanfälligkeit, mit einem speziellen Fokus auf Organisationen in ganz Amerika anvisierten.

Laut der Intelligence-Firma Mandiant gehörten fast ein Drittel der gehackten Geräte Regierungsbehörden, fast alle zwischen Oktober und Dezember 2022.

Bemerkenswerterweise wurden neben nordamerikanisch identifizierten Organisationen mehrere andere Staaten, Städte, Provinzen, Stämme, Städte und Gemeindebüros in dieser Kampagne angegriffen.

Das heißt, insgesamt waren die lokalen Regierungen, die in dieser Kampagne angegriffen wurden, knapp 7 Prozent aller identifizierten betroffenen Organisationen. Dies steigt jedoch drastisch auf fast 17 Prozent, wenn man die US-basierten Angriffe betrachtet.

Es scheint, dass die Motive des Angriffs Spionage waren, da der Angreifer (identifiziert als UNC4841) in das System eindrang, das hochrangigen Personen in der Regierung und auch in den Hochtechnologie-Sektoren gehörte.

Der E-Mail-Sicherheitsgateway informierte die Benutzer, dass die Sicherheitsanfälligkeit am 20. Mai ausgenutzt wurde, um in die Sicherheitsgateway-Geräte einzudringen, bevor Barracuda alle verwundbaren Geräte aus der Ferne patchte.

Etwa zehn Tage nach dem Patchen aller verwundbaren Geräte gab das Unternehmen auch bekannt, dass die Zero-Day-Sicherheitsanfälligkeit in den Angriffen seit mindestens sieben Monaten seit Oktober letzten Jahres ausgenutzt wurde, um unbekannte Malware freizusetzen und Daten von den infizierten Geräten zu stehlen.

Darüber hinaus warnte das Unternehmen die Kunden eine Woche später, dass sie ihre infizierten Geräte sofort ersetzen sollten, einschließlich der gepatchten, da etwa 5 Prozent aller Sicherheitsgateway-Geräte kompromittiert wurden, so die Bedrohungsintelligenzfirma.

Lesen: Instagram löscht gefälschten Tim Cook-Account

Wie oben erwähnt, lieferte der Angriff unbekannte Malware, einschließlich Saltwater und Seaspy, sowie ein bösartiges Tool namens SeaSlide, um über die Reserve-Shells remote auf die infizierten Geräte zuzugreifen.

CISA teilte auch Informationen über Submarine, auch bekannt als DeathCharge und Whirlpool-Malware, die im selben Angriff als späteres Payload abgeworfen wurde, um die Kontrolle zu behalten, nachdem das Unternehmen eine Beratung über die geringe Anzahl infizierter Geräte herausgegeben hatte, die laut Mandiant hochriskante Ziele sind.

Dies deutet darauf hin, dass, obwohl die Kampagne eine globale Abdeckung hatte, sie nicht opportunistisch war und der Angreifer genügend Planung und Mittel hatte, um Vorfälle zu erwarten und sich auf diese vorzubereiten, die möglicherweise ihren Zugang zum angegriffenen Netzwerk stören könnten.

Der Senior Incident Response Consultant der Bedrohungsintelligenzfirma, Austin Larsen, fügte hinzu, dass wir es mit formidable Gegnern zu tun haben, die über umfangreiche Ressourcen, Finanzierung und Know-how verfügen, um eine globale Spionagekampagne unentdeckt erfolgreich durchzuführen. Die China Nexus-Angreifer verbessern ihre Angriffe, um wirkungsvoller, heimlicher und effektiver zu sein.

Das gesagt, haben sowohl Barracuda als auch Mandiant bisher keine Beweise für neue Sicherheitsgateway-Geräte gefunden, die nach dem Patchen der Sicherheitsanfälligkeit CVE-2023-2868 infiziert wurden.

Zusätzlich dazu warnte das Federal Bureau of Intelligence letzte Woche, dass diese Patches nicht wirksam sind, da die Geräte weiterhin in den laufenden Angriffen infiziert werden.

Das FBI verstärkte auch Barracudas Warnung an die Kunden, dass sie das infizierte Gerät so schnell wie möglich trennen und dann ersetzen sollten, riet dem Unternehmen, sein Netzwerk auf mögliche Einbrüche zu untersuchen, und forderte sie auf, private Netzwerk-Anmeldeinformationen, d.h. Active Directory, zu ändern und zu rotieren, um die Versuche der Angreifer, Persistenz zu wahren, zu verwirren.

Außerdem sagt die Bundesbehörde, dass das FBI aktiv jede Eindringung überwacht und die Sicherheitsgateway-Geräte als infiziert und anfällig für diese Ausnutzung betrachtet.

Darüber hinaus hat die Behörde bestätigt, dass alle Barracuda-infizierten ESG-Geräte, einschließlich der gepatchten, weiterhin dem Risiko von weiteren Gerätekompromittierungen durch die verdächtigen chinesischen Bedrohungsakteure, die die Sicherheitsanfälligkeit ausnutzen, ausgesetzt sind.

Lesen: WhatsApp’s neuestes Update ermöglicht es Benutzern, Foto-Untertitel zu bearbeiten: Hier sind die Neuigkeiten