- Netzwerksicherheitsgeräte sind oft selbst Ziel von Angriffen, was zu unerwünschtem Zugriff auf geschützte Systeme führen kann. Sophos hat über fünf Jahre hinweg eine Hackergruppe bekämpft, die versuchte, Firewalls auszunutzen. Die Angreifer zielten auf eine Vielzahl von kritischen Infrastrukturen, von Atomenergie bis zu Telekommunikation. Sophos verfolgt die Exploits zu einem Netzwerk von Schwachstellenforschern in Chengdu, China, zurück. Der Bericht von Sophos soll das Schweigen der Cybersicherheitsbranche über Sicherheitslücken brechen.
Seit Jahren ist es eine unbequeme Wahrheit in der Cybersicherheitsbranche, dass die Geräte zur Netzwerksicherheit, die verkauft werden, um Kunden vor Spionen und Cyberkriminellen zu schützen, oft selbst das Ziel von Eindringlingen sind, die über diese Geräte Zugang zu ihren Zielen gewinnen. Immer wieder wurden Schwachstellen in „Perimeter“-Geräten zu Einfallstoren für versierte Hacker, die in genau die Systeme eindringen wollten, die diese Geräte schützen sollten. Nun enthüllt ein Cybersicherheitsanbieter, wie intensiv – und wie lange – er mit einer Hackergruppe zu kämpfen hatte, die versuchte, seine Produkte zu ihrem Vorteil auszunutzen. Über fünf Jahre hinweg hat das britische Cybersicherheitsunternehmen Sophos ein Katz-und-Maus-Spiel mit einem lose verbundenen Team von Gegnern geführt, die seine Firewalls ins Visier nahmen.
Sophos vs. chinesische Hacker
Sophos ging so weit, dass es die spezifischen Geräte aufspürte und überwachte, auf denen die Hacker ihre Angriffstechniken testeten, die Hacker bei der Arbeit beobachtete und letztendlich diese fokussierte, jahrelange Ausbeutungsbemühung zu einem Netzwerk von Schwachstellenforschern in Chengdu, China zurückverfolgte. Am Donnerstag dokumentierte Sophos diesen fünfjährigen Krieg mit den chinesischen Hackern in einem Bericht, der seine eskalierende Tit-for-Tat-Dynamik detailliert beschreibt. Das Unternehmen installierte diskret eigene „Implants“ auf den Sophos-Geräten der chinesischen Hacker, um deren Versuche der Firewallausnutzung zu überwachen und abzuwenden.
Pioniere der Schwachstellenausnutzung
In dieser Prozessphase identifizierten Sophos-Analysten eine Reihe von Hacking-Kampagnen, die mit wahlloser, massenhafter Ausbeutung seiner Produkte begannen und schließlich immer versteckter und zielgerichteter wurden. Die Hacker zielten auf Atomenergiezulieferer und -regulierer, militärische Einrichtungen, Telekommunikationsunternehmen, Regierungs- und Nachrichtendienste sowie den Flughafen einer nationalen Hauptstadt. Während die meisten Ziele – die Sophos nicht detaillierter benennt – in Süd- und Südostasien lagen, waren einige auch in Europa, dem Nahen Osten und den USA betroffen.
Sophos’ Bericht verknüpft diese umfassenden Hacking-Kampagnen mit chinesischen, staatlich unterstützten Hackergruppen, einschließlich der bekannten Gruppen APT41, APT31 und Volt Typhoon. Letztere ist eine besonders aggressive Gruppe, die es sich zur Aufgabe gemacht hat, auch Infrastruktur wie Stromnetze ins Visier zu nehmen. Die zentrale Verbindung in den Bemühungen, Sophos-Geräte zu manipulieren, sieht das Unternehmen jedoch nicht in diesen bereits identifizierten Hackergruppen. Vielmehr erscheint es als ein Netzwerk von Forschern, das Techniken entwickelt und der chinesischen Regierung zur Verfügung stellt. Sophos führt diese Schwachstellenausnutzung zu einem akademischen Institut und einem Auftragnehmer zurück, beide in Chengdu ansässig: Sichuan Silence Information Technology und die Universität für Elektronische Wissenschaft und Technologie Chinas.
Öffnung der Büchse der Pandora
Sophos sagt, dass die Veröffentlichung dieser Geschichte nicht nur einen Blick in Chinas Pipeline für Hackerforschung und -entwicklung gewähren soll, sondern auch das peinliche Schweigen der Cybersicherheitsbranche über das größere Problem von Sicherheitslücken in Sicherheitsgeräten, die Hackern als Einstiegspunkte dienen, brechen soll. Im vergangenen Jahr wurden etwa Schwächen in Sicherheitsprodukten anderer Anbieter, einschließlich Ivanti, Fortinet, Cisco und Palo Alto, ausgenutzt. „Das wird zu einem offenen Geheimnis. Die Leute verstehen, dass das passiert, aber leider schweigen alle,“ sagt Sophos Chief Information Security Officer Ross McKerchar. „Wir gehen einen anderen Weg, versuchen sehr transparent zu sein, um dieses Problem direkt anzugehen.“
