Chinesische Hackergruppen sind in Europa aktiv

Während sich die USA und China über den Abschuss des “Spionageballons” streiten, zeigt der APT Activity Report, dass chinesische Hackergruppen zunehmend Europa ins Visier nehmen. Die Untersuchungsergebnisse zu ausgewählten Advanced Persistent Threat (APT)-Gruppen – basierend auf Daten aus dem Zeitraum September bis Dezember 2022 – zeigen auch, dass die Ukraine weiterhin im Visier russischer Hacker wie Sandworm, Callisto oder Gamaredon steht.

Chinessische Bedrohungsaketure machen Europa unsicher

“Europäische Länder sind für chinesische APT-Gruppen immer interessanter. Normalerweise fokussierten mit China verbündete Hackergruppen wie Goblin Panda und Mustang Panda ihre Aktivitäten eher auf Südostasien”, erklärt Jan-Ian Boutin, Direktor von ESET Threat Research. Im  November 2022 hätten die Forscher eine neue Backdoor namens TurboSlate in einer Regierungsorganisation in der Europäischen Union gefunden. Die Malware konnte auf Goblin Panda zurückgeführt werden, die damit anscheinend das Tätigkeitsfeld von der APT-Gruppe Mustang Panda kopiert. Letztere haben Anfang 2022 europäische Ziele für sich entdeckt.

“Die Cyberspionage-Gruppe ist dafür bekannt, Regierungseinrichtungen, Unternehmen und Forschungseinrichtungen anzugreifen. Im vergangenen September entdeckten wir einen Korplug-Loader, der von den Hackern bei einem Unternehmen im Schweizer Energie- und Techniksektor verwendet wurde”, so Boutin weiter.

Cyberkrieg in der Ukraine geht weiter

Auch die berüchtigte Sandworm-Gruppe ist weiterhin sehr aktiv und setzt ihre Operationen gegen die Ukraine fort. Die Forscher stießen auf einen bisher unbekannten Wiper, der im Oktober 2022 gegen ein Unternehmen des Energiesektors im osteuropäischen Land eingesetzt wurde. Der beschriebene Angriff fand zu dem Zeitpunkt statt, als die russischen Streitkräfte begannen, Raketenangriffe auf die Energieinfrastruktur zu starten. Auch wenn ESET nicht nachweisen kann, dass diese Ereignisse koordiniert waren, deutet dies darauf hin, dass Sandworm und das russische Militär ähnliche Ziele verfolgen.

Das Schadprogramm NikoWiper basiert auf SDelete, einem Befehlszeilenprogramm von Microsoft, das zum sicheren Löschen von Dateien verwendet wird. Neben Daten löschender Malware, entdeckten ESET Forscher auch Angriffe von Sandworm, bei denen Ransomware als Wiper zum Einsatz kamen. Die Verschlüsselungssoftware hatte das gleiche Ziel wie die Wiper, es ging ausschließlich um die Zerstörung von Daten. Das zeigt sich vor allem daran, dass die Bereitstellung eines Entschlüsselungsschlüssel nie geplant war.

Neben Sandworm haben auch andere russische APT-Gruppen wie Callisto und Gamaredon ihre Spearphishing-Kampagnen gegen die Ukraine weitergeführt, um Anmeldedaten zu stehlen und Malware zu installieren. So wurde die Ransomware Prestige gegen Logistikunternehmen in der Ukraine und Polen eingesetzt. Einen Monat später fanden ESET Forscher in der Ukraine eine neue, in .NET geschriebene Verschlüsselungssoftware, die sie RansomBoggs nannten.

Iran und Nordkorea operieren nach wie vor im großen Stil

Auch mit dem Iran verbündete Gruppen führen ihre Angriffe fort – neben israelischen Unternehmen nahm POLONIUM auch die ausländischen Tochtergesellschaften israelischer Unternehmen ins Visier. Die iranische APT-Gruppe MuddyWater wird darüber hinaus verdächtigt, einen Anbieter von verwalteten Sicherheitsdiensten kompromittiert zu haben.

Die mit Nordkorea in Verbindung stehende Hackergruppe Konni nutzte alte Sicherheitslücken, um Kryptowährungsfirmen und -börsen in verschiedenen Teilen der Welt zu beeinträchtigen. ESET Forscher entdeckten, dass die Bedrohungsakteure das Repertoire der Sprachen, die es in seinen Täuschungsdokumenten verwendet, um Englisch erweitert haben. Das deutet darauf hin, dass sie ihren Aktionsradius nicht mehr ausschließlich auf die üblichen russischen und südkoreanischen Ziele beschränken.

Roger Homrich

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

3 Tagen ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

4 Tagen ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

4 Tagen ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

4 Tagen ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

5 Tagen ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

5 Tagen ago