Zusammenarbeit von Hackergruppen aus China

Fireeye hat zwei zusammenhängende Kampagnen identifiziert, die ihren Ursprung in zwei verschiedenen Regionen Chinas haben. Sie werden im aktuellen FireEye-Report "Operation Quantum Entanglement" vorgestellt.

„Das Beunruhigende daran ist, dass die beiden unabhängigen Gruppen zusammenzuarbeiten scheinen, was den Grad der Bedrohung drastisch erhöht“, sagt Thoufique Haq, Senior Research Scientist bei Fireeye. „Es scheint, sie arbeiten an einem fließbandartigen System, um gemeinsam Angriffe auf regionale und internationale Ziele einschließlich der USA durchzuführen.“

Die erste der beiden Gruppen – „Moafee“ – operiert den bisherigen Erkenntnissen nach von der chinesischen Provinz Guangdong aus. Ihre Angriffe richten sich vornehmlich gegen militärische Organisationen und Regierungen sowie Teile der amerikanischen Rüstungsindustrie, die ein Interesse am Südchinesischen Meer haben.

Die zweite Gruppierung – bekannt unter dem Namen DragonOK – zielt auf High-Tech- und Industriebetriebe in Japan und Taiwan. DragonOK steuert die eigenen Angriffe von der Provinz Jiangsu aus.

Beide nutzen ähnliche Werkzeuge und Vorgehensweisen (TTPs). So finden sowohl bei Moafee als auch bei DragonOK speziell programmierte Backdoors und Fernwartungstools (RATs) Verwendung, um die Netzwerke der Ziele zu infiltrieren. Zudem bevorzugen beide Gruppierungen Spear-Phishing E-Mails als Angriffsvektor und ködern ihre Ziele mit beigefügten Dokumenten. Sie verfassen die E-Mails in der Sprache des jeweiligen Ziels.

Auffällig ist auch die Nutzung des bekannten Proxy-Werkzeugs "HUC Packet Transmit Tool" (HTRAN). Damit versuchen sie, ihren Standort zu verschleiern. Ihre Angriffe tarnen sie mit Passwort-geschützten Dokumenten und immense Dateigröße. Diese Ansätze und die Ähnlichkeiten ihrer TTPs legen nahe, dass beide Gruppierungen entweder das gleiche Training absolvierten, ihre Werkzeuge von derselben Quelle beziehen oder tatsächlich zusammen an ihren Angriffskampagnen arbeiten.

Eine weitere, unabhängige Gruppierung scheint dieselben TTPs, Backdoors und RATs zu nutzen, wie Moafee und DragonOK. Bisher haben die Forscher von Fireeye jedoch noch nicht genügend Informationen zu dieser Gruppierung zusammentragen können, um eine definitive Verbindung zu Moafee und DragonOK nachweisen zu können.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu FireEye

Highend-Security für Google Cloud

Google kauft Mandiant

Mit Fokus auf XDR

McAfee Enterprise und FireEye werden Trellix

Hacktivisten und hybride Kriegsführung

Schadsoftware auf Regierungs-PCs in der Ukraine

Unified Architecture

Fire Eye entwickelt XDR-Plattform

US-Sicherheitsanbieter

Fireeye wird filetiert

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus