Die Hacker schleusen über kompromittierte VPN-Server von Sangfor einen Backdoor-Trojaner ein. Möglicherweise geht es ihnen um Informationen über die COVID-19-Pandemie. Die Hintermänner stammen wahrscheinlich von der koreanischen Halbinsel.

Der chinesische Sicherheitsanbieter Qihoo 360 hat eine massive Angriffswelle auf chinesische Regierungsbehörden aufgedeckt. Die Hintermänner sollen mit staatlicher Unterstützung handeln. Für ihre Attacken, die im März begannen, nutzen sie eine Zero-Day-Lücke in SSL-VPN-Servern von Sangfor.

Bisher wurden den Forschern zufolge mehr als 200 VPN-Server geknackt. Davon befanden sich 174 in Netzwerken von Regierungsbehörden in Peking und Shanghai. Betroffen sind aber offenbar auch diplomatische Niederlassungen der Volksrepublik in Italien, Großbritannien, Saudi-Arabien, Indien, Israel, der Türkei, Thailand und weiteren Ländern.

Im Untersuchungsbericht von Qihoo 360 heißt es, die gesamte Angriffskette sei sehr ausgeklügelt und clever. Auf einem gehackten VPN-Server ersetzten die Cyberkriminellen eine Datei namens SangforUD.exe durch eine speziell gestaltete Version. Bei der Datei handele es sich um ein Update für den Sangfor-VPN-Client – die manipulierte Version installiere auf Client-Systemen aber stattdessen einen Backdoor-Trojaner.

Die Angriffe verfolgten die Forscher zurück zu einer DarkHotel genannten Gruppe, die auf der koreanischen Halbinsel vermutet wird. Unklar ist jedoch, ob die seit 2007 aktive Gruppe, die zu den fortschrittlichsten weltweit gezählt wird, von Nordkorea oder von Südkorea unterstützt wird.

Google-Forscher hatten im März gemeldet, dass DarkHotel im vergangenen Jahr insgesamt fünf Zero-Day-Lücken für ihre Angriffe benutzte, mehr als jede andere Gruppierung. 2020 sollen es die Hacker mit der Sangfor-Schwachstelle schon auf drei Zero-Day-Lücken bringen.

Die Motive für die aktuelle Kampagne konnten die Forscher bisher nicht eindeutig klären. Sie vermuten, dass es um Informationen zum Umgang der chinesischen Behörden mit der COVID-19-Pandemie geht. Reuters zufolge soll DarkHotel zuletzt auch gegen die Weltgesundheitsorganisation WHO vorgegangen sein, die weltweit die Bemühungen zur Eindämmung des neuartigen Corona-Virus koordiniert.

Sangfor ist die Zero-Day-Lücke seit 3. April bekannt. Nach Angaben des Unternehmens sind VPN-Server mit den Firmware-Versionen M6.3R1 und M6.1 angreifbar. Heute im Lauf des Tags sollen für alle anfälligen Systeme Updates zur Verfügung stehen. Ein Skript soll Kunden zudem helfen, kompromittierte VPN-Server aufzuspüren. Ein weiteres Tool kündigte Sangfor an, um von den Hackern eingeschleuste Dateien zu entfernen.

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

[ad_2]

Article Source link

Is your business effected by a COVID-19 / Coronavirus related Cyber Crime? 

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online. 

Digitpol is available 24/7.

Email: info@digitpol.com
Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884