2 Minuten
China-Verbündete Cyberkriminelle kompromittieren französische Regierung über Ivanti Zero-Day-Schwachstellen
Ende 2024 wurden die französische Regierung sowie mehrere Schlüsselbranchen wie Telekommunikation, Finanzwesen und Transport Ziel einer ausgeklügelten Cyberattacke. Chinesische, staatlich unterstützte Hacker nutzten dabei verschiedene Zero-Day-Schwachstellen der Ivanti Cloud Services Appliance (CSA), um in sensible Netzwerke einzudringen und wertvolle Daten zu stehlen. Der Vorfall sorgt für erhebliche Besorgnis hinsichtlich der Cybersicherheit in Europa und darüber hinaus.
Details zu den Zero-Day-Exploits
Die französische Agentur für Informationssicherheit (ANSSI) bestätigte offiziell, dass die Angreifer drei kritische Schwachstellen in Ivanti CSA ausnutzten: CVE-2024-8963, CVE-2024-9380 und CVE-2024-8190. Zum Zeitpunkt der Angriffe waren diese Sicherheitslücken noch nicht behoben, was es den Angreifern ermöglichte, Zugangsdaten zu entwenden, langfristigen Zugriff auf die kompromittierten Systeme zu sichern und eine Entdeckung zu vermeiden.
Cybersecurity-Analysten beobachteten im Verlauf des Angriffs den Einsatz fortschrittlicher PHP-Webshells, die Modifikation legitimer PHP-Skripte zur Integration von Remote-Shell-Funktionen und die Installation schädlicher Kernel-Module, die als Rootkits agierten.
Die Houken-Gruppe und ihre Methoden
Die koordinierten Angriffe werden der berüchtigten Houken-Gruppe zugeschrieben, die bereits mit spektakulären Exploits von SAP NetWeaver-Schwachstellen und der Nutzung selbst entwickelter GoReShell-Backdoors in Verbindung gebracht wurde. Sicherheitsexperten sehen deutliche Parallelen zwischen Houken und der ebenfalls von Google’s Mandiant beobachteten Gruppe UNC5174.
Die Houken-Gruppe kombiniert fortschrittliche Zero-Day-Exploits mit einem breiten Arsenal an Open-Source-Werkzeugen, die überwiegend von chinesischsprachigen Entwicklern programmiert wurden. Ihre dezentralisierte Infrastruktur basiert auf kommerziellen VPN-Diensten und dedizierten Servern, um ihre Aktivitäten zu verschleiern und Angriffe gegen ihre Infrastruktur zu erschweren.
Globale Ausweitung und anhaltende Gefahren
Während Houken bisher vor allem Behörden und Bildungssektoren in Südostasien, China, Hongkong und Macau ins Visier genommen hat, fokussieren sich jüngste Aktivitäten in westlichen Ländern zunehmend auf kritische Bereiche wie staatliche Institutionen, Verteidigung, Forschung, Medien und Telekommunikationsanbieter.
Die Ermittlungen deuten darauf hin, dass hinter diesem Cyberangriff kein einzelner Akteur steckt. Vielmehr handelt es sich offenbar um eine koordinierte Aktion, bei der eine Gruppe den Erstzugriff auf Netzwerke verschafft und diesen später an andere Akteure verkauft, die gezielt nach sensiblen Informationen oder Geschäftsgeheimnissen suchen. Dies verdeutlicht die wachsende Bedeutung von Initial Access Brokerage auf dem Cybercrime-Markt.
Folgen für die Cybersicherheit und Marktreaktionen
Der großangelegte Cyberangriff verdeutlicht die strategische Bedeutung eines Echtzeit-Managements von Schwachstellen und das Risiko ungepatchter Cloud-Dienste, insbesondere in kritischen Infrastrukturbereichen. Unternehmen, die auf Ivanti Appliances oder ähnliche Cloud-Management-Plattformen setzen, sollten dringend proaktives Patch-Management und mehrschichtige Sicherheitslösungen implementieren, um sich gegen aktuelle und zukünftige Cyberbedrohungen abzusichern.
Gleichzeitig unterstreicht der Vorfall die dynamische Entwicklung von Cybercrime-Marktplätzen und die Notwendigkeit internationaler Kooperation bei der Cyber-Bedrohungsanalyse und schnellen Vorfallreaktion.
Quelle: techradar
Kommentare