Jena (ots)
In einer alarmierenden Entwicklung haben IT-Sicherheitsexperten von ESET eine neue Gruppe von Angreifern entdeckt, die als CeranaKeeper bezeichnet wird. Diese Gruppe führt gezielte Angriffe auf die thailändische Regierung durch und hat es auf staatliche Institutionen abgesehen. Die Attacken, die im Jahr 2023 begonnen haben, tauschen nicht nur Daten aus, sondern scheinen schon umfangreiche Mengen sensibler Informationen zu stehlen.
Diese Cyberangriffe nutzen alltägliche Datei-Sharing-Dienste wie Dropbox, GitHub und OneDrive, um große Datenmengen zu exfiltrieren. Solche Plattformen, die für ihre Sicherheit bekannt sind, machen das Erkennen von Bedrohungen schwieriger. Zudem hat CeranaKeeper Tools eingesetzt, die ursprünglich der APT-Gruppe Mustang Panda zugeordnet wurden, was die Komplexität der Bedrohung erhöht.
Die Angriffsstrategie von CeranaKeeper
Der Ablauf der Angriffe erfolgt durch den Erwerb eines privilegierten Zugangs zu Netzwerken von Regierungsinstitutionen. Zu diesem Zweck verwenden die Angreifer speziell entwickelte Software, darunter das sogenannte „TONESHELL“-Backdoor. Diese hinterlässt eine Schwachstelle in den Sicherheitsmaßnahmen der Zielsysteme und ermöglicht den Angreifern, die Kontrolle über zusätzliche Geräte zu übernehmen.
Ein zentraler Bestandteil ihrer Strategie ist die Verwendung von legitimen Diensten. Beispielsweise wurden durch GitHub Pull-Requests unbemerkt sogenannte umgekehrte Shells gesteuert, die es den Angreifern ermöglichen, von innen auf die Systeme zuzugreifen. Die Verwendung bekannter Plattformen zur Durchführung solcher Aktivitäten erschwert es den Sicherheitsdiensten, diese Angriffe zu erkennen und zu verhindern.
Das Hauptziel dieser Kampagnen ist der massive Diebstahl von Daten. Die Angreifer laden die gestohlenen Informationen dann in öffentliche Cloud-Speicher hoch. Die Höhe der gestohlenen Daten ist bedeutend, und durch die Verwendung von Cloud-Diensten gewährt CeranaKeeper sich einen langfristigen Zugriff auf wertvolle Informationen. Im Rahmen dieser Attacken wurden auch Systeme in anderen asiatischen Ländern kompromittiert, darunter Myanmar, die Philippinen, Japan und Taiwan.
Folgen der Angriffe
Die Attacken haben schwerwiegende Konsequenzen für die thailändische Regierung. Der Verlust sensibler Informationen hat nicht nur Auswirkungen auf die innerstaatliche Sicherheit, sondern gefährdet langfristig auch die geopolitische Stabilität. Zudem wird die Integrität der Regierungsnetze durch solche Angriffe erheblich geschwächt, was weitreichende Folgen haben kann.
Die erhebliche Bedrohung durch CeranaKeeper setzt Regierungen in der DACH-Region unter Druck. Wenn die Gruppe weiterhin erfolgreich Daten stiehlt, könnten ähnliche Angriffe auch in Europa stattfinden. Die Techniken, die von den Angreifern verwendet werden, könnten als Vorlage für künftige Cyberkriminalität dienen. Daher müssen sich Unternehmen und Behörden in dieser Region besonders anstrengen, um ihre Cyber-Schutzmaßnahmen zu erhöhen und Schwachstellen zu schließen.
Um sich gegen solche Bedrohungen zu wappnen, sind robuste Sicherheitspraktiken unerlässlich. Dazu zählen die Implementierung von Netzwerkanomalie-Überwachung und der Einsatz von Multifaktor-Authentifizierung. Außergewöhnliche Datenbewegungen zu Cloud-Diensten sollten kritisch überwacht werden, um mögliche Angriffe frühzeitig zu erkennen.
Angesichts der aktuellen Bedrohungen müssen europäische Sicherheitsbehörden und Unternehmen die Lehren aus den Angriffen auf Thailand berücksichtigen und ihre Strategien anpassen. Der Einsatz normaler, vertrauenswürdiger Dienste als Schwachstelle könnte besondere Aufmerksamkeit erfordern. Eine tiefere Analyse der Angriffe und der eingesetzten Werkzeuge ist eine Notwendigkeit, um wirksame Abwehrmaßnahmen zu entwickeln. Wie auf www.presseportal.de berichtet, sind weitere technische Details bereits veröffentlicht worden, die einen Einblick in die Methoden von CeranaKeeper geben.
Für eine detaillierte Betrachtung des Falls und weitere Informationen zu den Angriffswerkzeugen von CeranaKeeper bietet ESET in ihrem neuesten White Paper „CeranaKeeper: A relentless, shape-shifting group targeting Thailand“ umfassende Einblicke.
