Bundesamt für Verfassungsschutz warnt vor chinesischen Hackerangriffen auf deutsche Firmen - aktueller Cyberangriff auf den Tankstellen-Zulieferer Oiltanking
von Tina Siering
Wovor warnt das Bundesamt für Verfassungsschutz genau?
Auf seiner Webseite veröffentlichte das Bundesamt für Verfassungsschutz (BfV) im Januar eine Meldung, in der explizit vor gezielten Cyberangriffen auf deutsche Unternehmen gewarnt wird. Die Warnung ist sehr spezifisch und spricht von gezielten Spionageattacken auf Wirtschaftsunternehmen. Das BfV rät dazu, aktuell besonders wachsam zu sein und die Suche nach kompromittierten Systeme zu verstärken. Ebenfalls stellt das BfV Detektionsregeln und technische Indikatoren zur Verfügung, die beim Aufspüren bereits infizierter Systeme helfen.
Welchen Angriffsvektor nutzen die Hacker?
Das Bundesamt für Verfassungsschutz spricht davon, dass eine Variante der Malware HyperBro bei den aktuellen Angriffen zum Einsatz kommt. HyperBro gehört zur Klasse der Remote Access Tools (RAT). Diese Art von Schadsoftware gibt nach einer erfolgreichen Infiltration externen Personen außerhalb des Netzwerks unbemerkt Zugriff auf die Systeme.
Für die Infizierung der Zielsysteme nutzen die Angreifer zwei Methoden. Sie greifen dabei nach Angaben des BfV auf Sicherheitslücken in Servern von Microsoft Exchange sowie der Software Zoho AdSelf Service Plus1 zurück. Vor Angriffen über diese Sicherheitslücken hatte die CISA, die US-Behörde für Cybersecurity and Infrastructure Security Agency, bereits Mitte September 2021 gewarnt.
Angriffe über die Schwachstellen in Microsoft Exchange sind seit dem Frühjahr 2021 bekannt. Einige dieser Attacken stehen allem Anschein nach auch mit der aktuellen Welle in Zusammenhang. Hierbei zeigt sich auch, welche langfristigen Auswirkungen Zero-Day-Exploits auf die Sicherheit von Netzwerken haben. Die Lücke in den Exchange Servern von Microsoft gehört zu dieser Kategorie von Sicherheitslücken. Selbst Unternehmen, die sofort den verfügbaren Patch aufgespielt haben, sind im Frühjahr 2021 potenziell einem Angriff zum Opfer gefallen. Haben Angreifer das Netzwerk zu diesem Zeitpunkt über die Lücke unbemerkt kompromittiert, dann besteht der Zugriff möglicherweise auch heute noch. Dies ist unabhängig davon, ob Microsoft Exchange und Software Zoho AdSelf gepatcht wurden oder eventuell gar nicht mehr in Benutzung sind. Diese Lücken beziehungsweise die Software benötigen die Angreifer nicht mehr, sobald sie ihr Remote Access Tool in Position gebracht haben.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Wer steckt hinter den Angriffen?
Das BfV vermutet, dass hinter der aktuellen Welle die Cyberangriffsgruppierung APT27 steckt. APT steht hier als Abkürzung für Advanced Persistent Threat, also eine Gruppe, die sich auf gezielte und komplexe Angriffe im Cyberraum spezialisiert hat. Die Gruppe ist auch unter der Bezeichnung Emissary Panda bekannt. APT27 ist seit mindestens 2010 aktiv. In der Vergangenheit wurden der Gruppe Cyberattacken auf Botschaften verschiedener Staaten sowie auf Unternehmen zugerechnet. In diesen Fällen spionierte APT27 Informationen aus. Zu den Zielen dieser Gruppe gehören Energiekonzerne, Unternehmen aus dem Bereich Militärtechnik oder Luft- und Raumfahrtunternehmen. IT-Sicherheitsexperten gehen davon aus, dass APT27 aus China agiert und eine Verbindung zum Regierungsapparat des Landes besteht.
Das jüngste Opfer?: der Tanklogistiker Oiltanking
Tatsächlich gibt es klare Indizien, dass das Bundesamt für Verfassungsschutz die Warnung nicht ohne Grund herausgegeben hat. Am 31. Januar wurde bekannt, dass der Tanklogistiker Oiltanking Opfer eines Angriffs von Cyberkriminellen geworden ist. Diese Attacke hat Teile des Kerngeschäfts unterbrochen. Ebenfalls betroffen ist der Mineralölhändler Mabanaft, der zum gleichen Firmennetzwerk wie Oiltanking gehört.
Bei den Unternehmen ist durch die Cyberattacke die Be- und Entladung der Tanklager blockiert. Diese Teile des operativen Geschäfts sind laut Angaben von Oiltanking automatisiert und inzwischen manuell nicht mehr möglich. Betroffen sind 13 größere Tanklager, von denen aus Oiltanking Tankstellen und Unternehmen beliefert, darunter auch Shell. Teilweise sei es zudem an den betroffenen Tankstellen nicht möglich, Kartenzahlungen zu akzeptieren oder die Preise anzupassen.
Welche Ziele verfolgen die Angreifer mit den aktuellen Attacken?
Über die genauen Ziele der aktuellen Welle wird seitens des Bundesamtes für Verfassungsschutz zum Teil spekuliert. Anhand der Analyse betroffener Systeme lassen sich jedoch einige Rückschlüsse ziehen. So stehen vor allem deutsche Unternehmen aus den Bereichen Pharma und Technologie im Fokus der Angriffe von APT27. Auch sogenannte Supply-Chain-Angriffe wurden beobachtet. Dabei handelt es sich um weiterführende Attacken auf Unternehmen in der Lieferkette. Ausgehend von dem ersten Angriff auf ein bestimmtes Unternehmen infiltrieren die Hacker weitere Unternehmen, die Geschäftsbeziehungen zu dem ursprünglichen Ziel unterhalten.
Auch ist nicht ganz klar, welche Ziele die Angreifer verfolgen. Das Remote Access Tool HyperBro gibt den Hackern weitreichende Befugnisse in den kompromittierten Netzwerken. Bis jetzt haben die Angreifer jedoch Wert darauf gelegt, unentdeckt zu bleiben. Dementsprechend geht das BfV davon aus, dass der Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum im Fokus der Hacker steht. In einigen Fällen, die im Zusammenhang mit der aktuellen Welle stehen, ist der Diebstahl von Daten bereits nachgewiesen.
Ein Remote Access Tool wie HyperBro gibt den Angreifern jedoch noch viele weitere Möglichkeiten als die Option für einen Datendiebstahl. Es ist möglich, die komplette Kontrolle über ein System zu übernehmen. Die Angreifer sind in der Lage, in Echtzeit Screenshots der Bildschirminhalte anzufertigen oder sogar Audio- und Videoaufnahmen zu erstellen, sofern das System mit einer Kamera oder einem Mikrofon verbunden ist. Ebenfalls gibt eine solche Malware den Angreifern die Gelegenheit, weitere Schadsoftware nachzuladen. RAT sind in vielen Fällen ein Einfallstor für Ransomware-Attacken. Diese Remote Access Tools geben den Angreifern somit viel Macht über die infizierten Systeme.
Welche Optionen stehen Unternehmen zur Verteidigung bereit?
Der erste Schritt ist, die Informationen von der Webseite des Bundesamtes für Verfassungsschutz herunterzuladen. Das BfV stellt eine Liste von IP-Adressen bereit, die zum Netzwerk der Cyberangriffsgruppierung APT27 gehören beziehungsweise die für die Steuerung des Remote Access Tools HyperBro zum Einsatz kommen. Es handelt sich um sogenannte Steuerungs-Server, die zu den Hackern gehören.
Über diese Command and Control Server halten die Angreifer die Verbindung zu den infizierten Systemen, entwenden Daten oder spionieren weiter das Netzwerk aus. Anhand dieser IP-Liste ist es zunächst möglich, zu überprüfen, ob die Logs im Netzwerk sowie auf bestimmten Rechnern übereinstimmende Einträge enthalten. Falls ja, deutet dies auf eine Infektion mit HyperBro hin. Zudem erlaubt es die Liste, diese IP-Adressen über die Firewall zu sperren. Somit ist der Zugang der Hacker zu ihrem Remote Access Tool zunächst unterbrochen.
Eine Blockierung der IP-Adressen bietet jedoch keinen vollständigen Schutz. Greifen die Hacker über einen anderen Server auf die Malware zu, ist die Kommunikation wieder möglich. Auch haben die Hacker bereits jetzt die Möglichkeit, die IP-Adressen ihrer Server zu ändern, nachdem das BfV die Adressen öffentlich gemacht hat.
Aus diesem Grund ist es wichtig, proaktiv zu handeln. Dazu gehört in erster Linie die Implementierung von Systemen, die in der Lage sind, die Aktivität von Hackern oder Malware wie einem Remote Access Tool im eigenen Netzwerk zu entdecken. Dies sind sogenannte Lösungen für die Angriffsfrüherkennung. Solche Systeme sind in der Lage, ungewöhnliche Aktionen im Netzwerk aufzuspüren. Die Angriffsfrüherkennung greift auf Log-Daten zu, wie sie Router, Computer und andere Netzwerkkomponenten erstellen. In diesen Log-Dateien tauchen unter anderem die IP-Adresse sowie Informationen über die Art der Kommunikation auf. Dazu gehört auch die Kommunikation, die zwischen den Command and Control Servern der Hacker sowie einem infizierten System stattfindet. Darüber hinaus ist die Angriffsfrüherkennung auch generell ein wichtiger Baustein der Cyberverteidigung und dient nicht nur der Abwehr der aktuellen Bedrohung durch APT27.
Fazit zur aktuellen Warnung des BfV vor Cyberangriffen
Zunächst einmal gilt, dass die Warnung des Bundesamtes für Verfassungsschutz für jedes Unternehmen in Deutschland durchaus ernst zu nehmen ist. Es ist wichtig, die Gelegenheit zu nutzen, um das eigene Netzwerk sowie die IT-Security nochmals genau zu kontrollieren. Hierbei liegt der Fokus auf etwaigen Lücken in der Verteidigung sowie der Überprüfung, ob das Netzwerk eventuell kompromittiert ist.
Darüber hinaus zeigt die Situation auch, mit welchen Herausforderungen Unternehmen konfrontiert sind. In kleinen und mittleren Unternehmen sind häufig einige wenige Personen, wenn nicht sogar eine einzelne, für die Sicherheit der IT verantwortlich. Dem gegenüber stehen langanhaltende Risiken durch Sicherheitslücken und Zero Day Exploits, die Gefahr von unentdeckten Aktivitäten im Netzwerk sowie die Bedrohung durch Cyberkriminalität. Hier sind es inzwischen nicht nur alltägliche Cyberbedrohungen oder Hacker mit finanziellen Interessen, die für die Bedrohungslage sorgen. Mittlerweile sind auch, wie im aktuellen Fall, Organisation wie APT27 aktiv, deren Ziele und Hintergründe nicht eindeutig klar sind. Jedes Unternehmen ist ein potenzielles Ziel für alle diese Akteure.
Erschwerend kommt die Abhängigkeit von digitalen Systemen hinzu, die durch die fortschreitende Digitalisierung entstanden ist. Dies zeigt sich bei dem Fall von Oiltanking, bei dem das Tagesgeschäft durch eine Cyberattacke vollständig zum Erliegen kommt. Unternehmen haben somit gar keine Wahl, als der IT-Sicherheit höchste Priorität einzuräumen, denn Cyberangriffe haben das Potenzial, den gesamten Geschäftsbetrieb von der einen auf die andere Sekunde zu blockieren.