China unter Verdacht

Malware infiziert SMS-Server von Telekom-Anbietern

| Redakteur: Jürgen Schreier

Die "staatsnahe" chinesische Hackergruppe APT41.wird mit der Infektion von SMS-Servern westlicher Telekommunikationsunternehmen in Verbindung gebracht. Nach Beobachtung von FireEye stiehlt die Malware Textnachrichten von ausgewählten, hochrangigen Personen, Im Visier: Politiker und politische Bewegungen, Militärs und Journalisten.

Firmen zum Thema

Im Visier der Hacker: die SMS-Server von Telekommunikationsdienstleistern.
Im Visier der Hacker: die SMS-Server von Telekommunikationsdienstleistern.
(Bild: gemeinfrei / Pixabay)

In einem aktuellen Bericht informiert der Security-Spezialist FireEye über die neuesten Aktivitäten der chinesischen Gruppe APT41. Darin hat FireEye die spezielle Schadsoftware MESSAGETAP identifiziert. Diese infiziert SMS-Server von Telekommunikationsanbietern, um so Cyberspionage-Angriffe zu erleichtern.

Die wichtigsten Ergebnisse aus dem Report umfassen:

  • APT41, eine äußerst fortschrittliche Gruppe von Cyber-Akteuren, die chinesischen Cyberspionage-Aktivitäten zugeordnet wird, stiehlt Textnachrichten bei Telekommunikationsanbietern von ausgewählten, hochrangigen Personen.
  • Dabei wird auf ein Tool (von FireEye MESSAGETAP genannt) zurückgegriffen, das entwickelt wurde, um die Daten von Telekommunikationsanbietern zu durchsuchen und Textnachrichten aus einer definierten Liste von Telefonnummern zu extrahieren, die auf einer zweiten vordefinierten Liste von Keywords basiert.
  • Bisher beobachtete Ziele sind hochrangige Militär- und Regierungsvertreter, die traditionell für die chinesische Regierung von Interesse sind. Inhaltlich decken die gestohlenen Nachrichten ein breites Spektrum von Themen ab, darunter: militärische Themen, Geheimdienstbemühungen, politische Bewegungen, die mit China uneins sind sowie die Nennung von hochrangigen chinesischen Offiziellen.
  • Es gibt praktisch keine Maßnahmen, die Benutzer ergreifen können, um Nachrichten auf ihren Geräten zu schützen oder diese Aktivitäten zu bemerken. Alle Aktivitäten von MESSAGETAP erfolgen auf der Ebene von Telekommunikationsanbietern und basieren auf beobachteten APT41-Aktionen sowie einer detaillierten Untersuchung des Tools.
  • Der Einsatz von MESSAGETAP spiegelt die sich weiterentwickelnden chinesischen Cyberspionage-Aktivitäten wider und bietet chinesischen Spionageprogrammen eine neue und erheblich größere Leistungsfähigkeit.
  • MESSAGETAP gewährt APT41, und damit China, die Möglichkeit, hochsensible Daten im großen Maßstab von wichtigen Zielen zu erhalten – mit geringem Risiko, entdeckt zu werden.

Der Einsatz von MESSAGETAP und die gezielte Ausrichtung auf sensible Textnachrichten und Anrufdetailaufzeichnungen in großem Maßstab ist repräsentativ für die Entwicklung der von FireEye beobachteten chinesischen Cyberspionagekampagnen. APT41 und mehrere andere Bedrohungsgruppen, die chinesischen staatlich geförderten Akteuren zugeschrieben werden, haben ihre Ausrichtung auf vorgelagerte Dateneinheiten seit 2017 verstärkt.

Die Funktionsweise der Schadsoftware MESSAGETAP
Die Funktionsweise der Schadsoftware MESSAGETAP
(Bild: FireEye)

Auch Reiseunternehmen und Gesundheitsdienstleister im Visier

Diese Unternehmen, die sich mehrere Schichten über den Endbenutzern befinden, belegen kritische Informationspunkte, in denen Daten aus einer Vielzahl von Quellen zu einzelnen oder konzentrierten Knoten konvergieren. Der strategische Zugang zu diesen Unternehmen, wie beispielsweise Telekommunikationsanbietern, ermöglicht es den chinesischen Geheimdiensten, sensible Daten in großem Umfang für ein breites Spektrum von Anforderungen an die prioritäre Intelligenz zu erhalten.

Im Jahr 2019 beobachtete FireEye vier Telekommunikationsunternehmen, die im Visier von APT41-Akteuren waren. Darüber hinaus wurden 2019 vier weitere Telekommunikationsfirmen von anderen Angreifern mit Verdacht, in Zusammenhang mit dem chinesisches Staat zu stehen, attackiert. Neben Telekommunikationsunternehmen wurden auch andere Firmen, die sensible Datensätze über bestimmte Personen von Relevanz besitzen, wie beispielsweise große Reiseunternehmen und Gesundheitsdienstleister, von APT41 angegriffen.

Dies spiegelt einen sich entwickelnden chinesischen Targeting-Trend wider, der sich sowohl auf Upstream-Daten als auch auf gezielte Überwachung konzentriert. Für eine genauere Analyse der jüngsten chinesischen Cyberspionage-Targeting-Trends können Kunden das FireEye Threat Intelligence Portal nutzen. Dieses Thema wurde auch auf dem FireEye Cyber Defense Summit 2019 in Washington behandelt.

End-to-End-Verschlüsselung ist Pflicht

FireEye geht davon aus, dass sich dieser Trend auch in Zukunft fortsetzen wird. Dementsprechend müssen sowohl Benutzer als auch Unternehmen das Risiko in Betracht ziehen, dass unverschlüsselte Daten mehrere Schichten vor ihrer Mobilfunkkette abgefangen werden. Dies ist besonders wichtig für Personen wie Dissidenten, Journalisten und Beamte, die mit hochsensiblen Informationen umgehen.

Geeignete Sicherheitsvorkehrungen wie die Verwendung eines Kommunikationsprogramms mit End-to-End-Verschlüsselung können dieses Risiko zu einem gewissen Grad mindern. Darüber hinaus müssen die Benutzer bezüglich der Risiken der Übertragung sensibler Daten über SMS geschult werden.

Den vollständigen Bericht finden Sie unter diesem Link.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46227612)