China unter Verdacht

Australien steht unter Cyberbeschuss

Uhr
von Steve Wagner und Übersetzung: Colin Wallace

Australien ist zur Zielscheibe von Cyberangriffen geworden. Nach Angaben der australischen Regierung steckt ein staatlicher Akteur dahinter. Die Angreifer nutzen Exploit Codes, Webshells und andere Tools, die nahezu identisch aus Open-Source-Quellen übernommen wurden.

(Source: gavran333 / Fotolia.com)
(Source: gavran333 / Fotolia.com)

Australien ist nach Angaben seiner Regierung das Ziel massiver Cyber-Angriffe. "Diese Aktivitäten sind nicht neu, doch die Frequenz hat in den letzten Monaten zugenommen", sagte Premierminister Scott Morrison am Freitag.

Nach Angaben des Premierministers richten sich die Angriffe gegen wichtige Infrastrukturen, das Bildungs- und Gesundheitswesen, politische Organisationen und Industrieunternehmen. Es seien jedoch keine Daten gestohlen worden.

Gemäss dem Australian Cyber Security Centre (ACSC), dem Pendant zur schweizerischen

Melde- und Analysestelle Informationssicherung (Melani), deuten Umfang und Art der gezielten Angriffe und die verwendeten Techniken darauf hin, dass der Angreifer ein staatlicher Akteur ist. Als Journalisten Scott Morrison auf der Pressekonferenz vom Freitag baten, ein Land zu nennen, zog es der Premierminister vor, keinen Namen zu nennen, und bestätigte lediglich, dass "nur wenige staatliche Akteure sich an Angriffen dieses Ausmasses beteiligen können". Für Experten steht aber ausser Frage, dass China dahintersteckt, wie "SRF" berichtet.

Die Angriffe sind komplex

Das ACSC erklärt, dass sich die Attacke auf den Einsatz von Exploit Codes, Webshells und anderen Tools stützt, die nahezu identisch aus Open-Source-Quellen kopiert wurden ("Copy-paste compromised"). Man habe festgestellt, dass der Akteur eine Reihe von initialen Zugriffsvektoren verwendet. Der häufigste ist die Ausnutzung von Schwachstellen öffentlich zugänglicher Infrastrukturen. Eine Deserialisierungsschwachstelle in Microsoft Internet Information Services (IIS), eine Schwachstelle in SharePoint 2019 und eine in Citrix 2019 wurden ebenfalls genutzt.

Wenn die Ausnutzung von Schwachstellen öffentlicher Infrastrukturen scheitert, setzt der Angreifer verschiedene Spear-Phishing-Methoden ein: Links zu Websites zum Extrahieren von Identifikationsinformationen, E-Mails mit bösartigen Dateien oder Anstiftung zur Vergabe von Office 365 OAuth-Token. Sobald er erstmals Zugriff erhält, verwendet der Täter eine Mischung aus Open-Source- und eigenen Tools, um mit dem infiltrierten Netzwerk zu interagieren.

Das ACSC stellte fest, dass der Angreifer legitime, aber kompromittierte australische Websites mit gestohlenen Identifikatoren als Befehls- und Kontrollserver benutzt. Die Befehle und Kontrolle wurden hauptsächlich mit Web-Shells und HTTP/HTTPS-Verkehr durchgeführt. Diese Technik macht das Geoblocking unwirksam und legitimierte so den bösartigen Netzwerkverkehr.

Webcode
DPF8_182996