Chinesische Hacker greifen russische Bundesbehörden an.

Eine weitere aggressive Hacking-Affäre wurde von staatlich unterstützten chinesischen Cyberkriminellen mit neuer und innovativer Malware initiiert.

Laut The Hacker News starteten chinesische staatlich geförderte Hacker im vergangenen Jahr eine massive Hacking-Kampagne gegen russische Bundesbehörden mit einem Virus namens Webdav-O. Group-IB gab bekannt, dass das Virus dem BlueTraveller-Trojaner, der in Spionagekampagnen verwendet wird, sehr ähnlich ist und mit einer chinesischen Cyberkriminellen-Gang namens TaskMasters in Verbindung steht. Der Bericht ist eine Fortsetzung früherer öffentlicher Offenlegungen mit Solar JSOC und SentinelOne, die zusätzliche Details zu Mail-O liefern und auf die Malware PhantomNet hinweisen, die vom Bedrohungsakteur TA428 verwendet wird.

Laut Solar JSOC bestand der ultimative Zweck der Hacker darin, die IT-Infrastruktur lahmzulegen und an geheime Informationen zu gelangen, darunter vertrauliche Dokumente, die in verschlossenen Sektoren gespeichert und zwischen Regierungsvertretern ausgetauscht werden.

Die ausgewählten Ziele der Hacker sind hauptsächlich Regierungsbehörden, Militärunternehmen und akademische Einrichtungen. In diesem speziellen Fall verwendeten Bedrohungsakteure nicht nachweisbare Malware, echte Dienstprogramme und ein tiefes Verständnis der Funktionsweise von Informationsschutztools in Regierungsbehörden, um ein hohes Maß an Geheimhaltung zu wahren.

Laut Dimitry Kupin und Anastasia Tikhonova von GROUP-IB sind "Chinesische APTs eine der zahlreichsten und aggressivsten Hacker-Communitys. Der Hauptzweck chinesischer Hacker darin besteht, Informationen zu sammeln und sie so lange wie möglich unentdeckt zu halten".

Die Gemeinsamkeiten der beiden auf den Punkt gebracht

Group-IB stützte seine Ergebnisse auf eine Probe von Webdav-O, die im November 2019 bei VirusTotal eingereicht wurde. Die Forscher fanden heraus, dass sie sich mit einer Solar JSOC-Malware aus diesem Monat überschneidet, wobei es sich bei letzterer um eine neuere, verbesserte Version mit zusätzlichen Funktionen handelt. Aufgrund der Ähnlichkeiten im Quellcode und der Ausführung der Befehle ist die Webdav-O-Malware mit dem BlueTraveller Troja verwandt.

Darüber hinaus zeigt ein Blick auf das Toolset von TA428 mehrere Parallelen zu einem anderen potenziellen Malware-Stamm namens Albaniiutas, der im Dezember 2020 mit dem Bedrohungsakteu Es ist noch unklar, ob TaskMasters und TA428 beide russische Bundesbehörden im Jahr 2020 angegriffen haben oder ob sie Mitglieder einer größeren staatlich geförderten Hackergruppe sind. r in Verbindung gebracht wurde. Dies deutet darauf hin, dass Albaniiutas eine weitere aktualisierte Version von BlueTraveller sein kann und Webdav-O möglicherweise eine leicht modifizierte Version ist Version von BlueTraveller.

*TA428 ist eine chinesische staatlich geförderte Hackergruppe, die seit 2013 tätig ist.