Sophos hat heute den Report \u201ePacific Rim\u201c<\/a> ver\u00f6ffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterst\u00fctzten Cybercrime-Gruppierungen aus China beschreibt. Im Fokus der Attacken standen dabei Cybersicherheits-Perimeterger\u00e4te, darunter Sophos Firewalls. Die Angreifer nutzten eine Reihe von Kampagnen mit neuartigen Exploits und ma\u00dfgeschneiderter Malware, um Tools zur Durchf\u00fchrung von \u00dcberwachung, Sabotage und Cyberspionage einzubetten, die sich zudem mit Taktiken, Tools und Verfahren (TTPs) bekannter chinesischer Nationalstaatsgruppen wie Volt Typhoon<\/a>, APT31 und APT41 \u00fcberschnitten. Die Gegner nahmen vor allem in S\u00fcd- und S\u00fcdostasien sowohl kleine als auch gro\u00dfe kritische Infrastrukturen und Regierungsziele ins Visier, darunter Kernenergielieferanten, den Flughafen einer Landeshauptstadt, ein Milit\u00e4rkrankenhaus, den Staatssicherheitsapparat und zentrale Ministerien.<\/p>\n Im gesamten pazifischen Raum arbeitete Sophos X-Ops, die Cybersicherheits- und Threat-Intelligence-Abteilung des Unternehmens, daran, die Bewegungen der Gegner zu neutralisieren sowie Verteidigungs- und Gegenoffensiven kontinuierlich weiterzuentwickeln. Nachdem Sophos erfolgreich auf die ersten Angriffe reagiert hatte, verst\u00e4rkten die Gegner ihre Bem\u00fchungen und holten erfahrenere Operatoren hinzu. Im Lauf der anschlie\u00dfenden Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-\u00d6kosystem.<\/p>\n W\u00e4hrend Sophos seit 2020 immer wieder Details zu einzelnen Kampagnen aus den Angriffswellen ver\u00f6ffentlichte, darunter Cloud Snooper<\/a> und Asnar\u00f6k<\/a>, teilt das Unternehmen nun die Gesamtanalyse der letzten f\u00fcnf Jahre, um das Bewusstsein f\u00fcr die Hartn\u00e4ckigkeit chinesischer Nationalstaatgegner<\/a> und deren absoluten Fokus auf die Kompromittierung ungepatchter oder End-of-Life-Ger\u00e4te im Netzwerkperimeter; h\u00e4ufig \u00fcber Zero-Day-Exploits, die speziell f\u00fcr diese Ger\u00e4te entwickelt wurden. Sophos fordert alle Organisationen auf, mit absoluter Priorit\u00e4t Patches f\u00fcr Schwachstellen einzuspielen, die in ihren mit dem Internet verbundenen Ger\u00e4ten entdeckt wurden, sowie alle \u00e4lteren, nicht mehr durch Updates unterst\u00fctzte Ger\u00e4te auf aktuelle Modelle zu migrieren. Sophos aktualisiert regelm\u00e4\u00dfig alle unterst\u00fctzten Produkte auf der Grundlage neuer Bedrohungen und Kompromittierungsindikatoren (IoCs), um Kunden zu sch\u00fctzen. Sophos Firewall-Kunden werden durch schnelle Hotfixes gesch\u00fctzt, die standardm\u00e4\u00dfig aktiviert sind.<\/p>\n \u201eDie heutige Realit\u00e4t ist, dass Ger\u00e4te am Netzwerkperimeter zu \u00e4u\u00dferst attraktiven Zielen f\u00fcr chinesische Nationalstaatsgruppen wie Volt Typhoon und andere geworden sind\u201c, so Ross McKerchar, CISO bei Sophos. \u201eDie Gruppen verschleiern und unterst\u00fctzten ihre Attacken durch sogenannte Operational Relay Boxes (ORB), die zum Beispiel \u00fcber kompromittierte IoT-Ger\u00e4te zum Einsatz kommen. Im Mittelpunkt der Aktivit\u00e4ten steht die direkte Spionage oder die indirekte Ausnutzung von Schwachstellen f\u00fcr zuk\u00fcnftige Angriffe mit entsprechenden Kollateralsch\u00e4den, da auch Organisationen getroffen werden, die urspr\u00fcnglich keine Zielscheibe waren. F\u00fcr Unternehmen entwickelte Netzwerkger\u00e4te sind besonders attraktive Ziele f\u00fcr diese Zwecke \u2013 sie sind leistungsstark, immer aktiv und verf\u00fcgen \u00fcber st\u00e4ndige Konnektivit\u00e4t. Als eine Gruppe, die ein globales ORB-Netzwerk aufbauen wollte, einige unserer Ger\u00e4te ins Visier nahm, reagierten wir mit der Anwendung derselben Erkennungs- und Reaktionstechniken, die wir zum Schutz unserer Unternehmensendpunkte und Netzwerkger\u00e4te verwenden. Dies erm\u00f6glichte es uns, die Vorg\u00e4nge zu stoppen und auf wertvolle Bedrohungsinformationen zuzugreifen, die wir nutzten, um unsere Kunden zu sch\u00fctzen.\u201c<\/p>\n \u201eJ\u00fcngste Hinweise der CISA<\/a> (Cybersecurity and Infrastructure Security Agency) haben deutlich gemacht, dass chinesische Nationalstaatgruppen zu einer st\u00e4ndigen Bedrohung f\u00fcr die kritische Infrastruktur vieler Nationen geworden sind\u201c, f\u00e4hrt McKerchar fort. \u201eWas wir oft vergessen, ist, dass kleine und mittlere Unternehmen \u2013 also diejenigen, die den Gro\u00dfteil der Lieferkette f\u00fcr kritische Infrastrukturen ausmachen \u2013 Ziele sind, da sie oft die schw\u00e4chsten Glieder in diesem Gesch\u00e4ftssystem sind. Leider verf\u00fcgen diese Organisationen oft \u00fcber weniger Ressourcen, um sich gegen solch komplexe Bedrohungen zu verteidigen. Erschwerend kommt hinzu, dass die aktuellen Gegner dazu neigen, sich heimlich in Systemen einzunisten und auf Schleichfahrt im Netzwerk zu gehen. Das macht es sehr schwierig, sie zu entdecken und zu vertreiben \u2013 und sie werden nicht aufh\u00f6ren, bis sie gest\u00f6rt werden.\u201c<\/p>\n Eine Einsch\u00e4tzung, die auch Jeff Greene, CISA Executive Assistant Director for Cybersecurity teilt: \u201eDurch das JCDC (Joint Cyber Defense Collaborative) erh\u00e4lt und teilt CISA wichtige Informationen \u00fcber die Cybersicherheitsherausforderungen, mit denen wir konfrontiert sind, einschlie\u00dflich der fortschrittlichen Taktiken und Techniken, die von staatlich gef\u00f6rderten Cyberakteuren eingesetzt werden. Das Fachwissen von Partnern wie Sophos und Berichte wie Pacific Rim bieten der globalen Cyber-Community mehr Einblicke in die sich entwickelnden Verhaltensweisen in der Volksrepublik China. Indem wir Seite an Seite arbeiten, helfen wir Cyber-Verteidigern, das Ausma\u00df und die weit verbreitete Ausnutzung von Edge-Netzwerkger\u00e4ten zu verstehen und Abhilfema\u00dfnahmen umzusetzen. CISA weist weiterhin darauf hin, dass bestimmte Schwachstellengruppen, einschlie\u00dflich SQL-Injections und Sicherheitsl\u00fccken im Speicher, weiterhin massenhaft ausgenutzt werden. Wir fordern Softwarehersteller dringend auf, unsere Secure-by-Design-Ressourcen zu nutzen und, wie Sophos es in diesem Fall getan hat, diese Prinzipien konsequent umzusetzen.\u201c<\/p>\n \u00a0<\/strong>Ratschl\u00e4ge f\u00fcr Verteidiger<\/strong><\/p>\n Unternehmen sollten damit rechnen, dass alle mit dem Internet verbundenen Ger\u00e4te Hauptziele nationalstaatlicher Gegner sind, insbesondere Ger\u00e4te in kritischen Infrastrukturen. Sophos empfiehlt Unternehmen, die folgenden Ma\u00dfnahmen zu ergreifen, um ihre Sicherheitslage zu st\u00e4rken.<\/p>\n Ross McKerchar weiter: \u201eWir m\u00fcssen mit dem \u00f6ffentlichen und privaten Sektor, den Strafverfolgungsbeh\u00f6rden und Regierungen sowie der Sicherheitsbranche zusammenarbeiten, um unser Wissen \u00fcber diese feindlichen Operationen auszutauschen. Es ist eine clevere Taktik der Angreifer, genau jene Perimeterger\u00e4te ins Visier zu nehmen, die zum Schutz von Netzwerken eingesetzt werden. Organisationen, Vertriebspartner und Managed Service Provider m\u00fcssen sich dar\u00fcber im Klaren sein, dass diese Ger\u00e4te die Hauptziele f\u00fcr Angreifer sind und sollten sicherstellen, dass sie entsprechend abgesichert sind sowie kritische Patches sofort nach ihrer Ver\u00f6ffentlichung angewendet werden. Tats\u00e4chlich wissen wir, dass Angreifer aktiv nach EOL-Ger\u00e4ten suchen. Auch hier spielen Anbieter eine gro\u00dfe Rolle. Sie m\u00fcssen Kunden helfen, indem sie zuverl\u00e4ssige und gut getestete Hotfixes unterst\u00fctzen, ein einfaches Upgrade von EOL-Plattformen erm\u00f6glichen, Legacy-Code, der noch bestehende Schwachstellen bergen kann, systematisch umgestalten oder entfernen, und standardm\u00e4\u00dfig sichere Designs kontinuierlich verbessern, um die Integrit\u00e4t der eingesetzten Ger\u00e4te zu gew\u00e4hrleisten.\u201c<\/p>\n Den gesamten Report mit zahlreichen Details sowie den wichtigsten Meilensteinen der Pacific-Rim-Historie gibt es unter www.Sophos.com\/pacificrim<\/a><\/p>\n\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/10\/shutterstock_575003929.jpg\"\/)
<\/p>\n