Unvorhergesehene Wendungen und technische Raffinesse
Im späten Mai gelang es Forschern, ein Team chinesischer Staats-Hacker aus den Netzwerken sensibler Organisationen zu vertreiben. Diese hatten sieben Monate lang eine kritische Sicherheitslücke ausgenutzt, um Hintertüren in die Netzwerke hochsensibler Organisationen zu schleusen. Die Sicherheitsfirma Barracuda, deren Email Security Gateway kompromittiert wurde, hatte ab dem 18. Mai einen Patch bereitgestellt. Wenige Tage später wurde ein Skript entworfen, um die Hacker zu eliminieren, die in einigen Fällen bereits seit Oktober des vorherigen Jahres Zugang hatten.
Doch die Angreifer hatten andere Pläne. Unbekannt für Barracuda und die Forscher von der Sicherheitsfirma Mandiant, die zur Bereinigung hinzugezogen wurde, setzten die Hacker in den Tagen nach der Veröffentlichung der Sicherheitslücke am 20. Mai umfangreiche Gegenmaßnahmen in Gang. Sie passten die Malware, die ihre Zielobjekte infizierte, an, um sie widerstandsfähiger gegen das Barracuda-Skript zu machen. Einige Tage später setzten die Hacker „DepthCharge“ ein, eine bisher unbekannte Art von Malware, die sie bereits in der Hand hatten. Dies deutet darauf hin, dass sie die Entdeckung von Barracuda antizipiert hatten.
Gekonnte Vorbereitung und gezielte Gegenangriffe
Da sie wussten, dass ihre wichtigsten Opfer die Barracuda-Fixes innerhalb weniger Tage installieren würden, griffen die Hacker, die als UNC4841 verfolgt wurden, ein und mobilisierten DepthCharge, um sicherzustellen, dass neu bereitgestellte Geräte, die alte infizierte ersetzten, sich erneut selbst infizieren würden. Diese gut orchestrierten Gegenangriffe zeugen von den finanziellen Ressourcen der Hacker sowie von ihrer Geschicklichkeit und Effektivität in ihren Vorgehensweisen.
„Diese Fähigkeit und ihre Anwendung deuten darauf hin, dass UNC4841 auf eine Behebung vorbereitet war und Werkzeuge sowie Vorgehensweisen einsetzte, um die Persistenz auf hochwertigen Zielen aufrechtzuerhalten“, schrieben die Forscher von Mandiant. „Es deutet auch darauf hin, dass trotz der globalen Reichweite dieser Operation diese nicht opportun war. UNC4841 hatte angemessene Planung und Finanzierung, um auf Eventualitäten vorbereitet zu sein, die ihren Zugang zu Zielnetzwerken stören könnten.“
Die Forscher gaben an , dass zum Zeitpunkt des Berichts „eine begrenzte Anzahl von zuvor betroffenen Opfern aufgrund dieser Kampagne weiterhin gefährdet ist. UNC4841 hat Interesse an einer Gruppe von Prioritätsopfern gezeigt – auf diesen Opfergeräten wurde zusätzliche Malware bereitgestellt, wie z. B. der Backdoor DEPTHCHARGE, um die Persistenz als Reaktion auf Behebungsversuche aufrechtzuerhalten.“
Exploit und Gegenangriffe
Bereits im Oktober begann UNC4841, eine außergewöhnlich mächtige Schwachstelle mit der Kennung CVE-2023-2868 auszunutzen. Diese war in allen in den letzten Jahren verkauften Barracuda Email Security Gateway-Geräten vorhanden. Ein Fehler in der Art und Weise, wie die Gateway-Geräte die Logik von TAR-Dateien verarbeiteten, ermöglichte es den Hackern, Befehle direkt in den Gerätefluss einzuspeisen. Dies konnte leicht ausgelöst werden, indem eine speziell präparierte Datei an eine E-Mail angehängt und an Adressen hinter dem Perimeter eines verwundbaren ESG-Geräts gesendet wurde.
Technisch ausgedrückt befand sich der Fehler in der Art und Weise, wie die Geräte die qx{}-Routine in der Programmiersprache Perl ausführten. Dies erlaubte es bösartigen Anhängen, Shellcode einzuspeisen, den die E-Mail direkt in das Gerätebetriebssystem einschleuste, wobei die benutzerkontrollierte Variable $f verwendet wurde.
Zusätzlich zu DepthCharge setzte UNC4841 in der zweiten Welle ihrer Gegenangriffe zwei andere Arten von Malware ein: eine namens SkipJack und eine namens FoxTrot oder FoxGlove. SkipJack wurde am weitesten verbreitet eingesetzt. Es handelte sich um einen recht typischen Backdoor, der bösartigen Code in legitime Barracuda-Gerätemodule einschleuste. SkipJack wurde auf 5,8 Prozent der infizierten Gateway-Geräte installiert. Unter der Annahme, dass die Gesamtzahl der infizierten Geräte 500 betrug, wären das etwa 29 Geräte gewesen. Die Opfer dieser Gruppe umfassten Organisationen in verschiedenen Regierungsebenen, dem Militär, der Verteidigungs- und Raumfahrtindustrie, der Hochtechnologie und Telekommunikation.
Discussion about this post