Im Januar 2022 haben Kaspersky-Experten mehrere fortschrittliche Angriffe auf Militärunternehmen und öffentliche Organisationen entdeckt, darunter Industrieanlagen, Designbüros, Forschungsinstitute, Regierungsbehörden, Ministerien und Ämter, die darauf abzielten, sensible Informationen zu stehlen und die Kontrolle über die IT-Systeme zu erlangen. Die von den Angreifern verwendete Malware ähnelt der von TA428 APT, einer chinesischsprachigen APT-Gruppe.
Vorgehen der Angreifer
Die Angreifer infiltrieren die Unternehmensnetzwerke zielgerichtet durch sorgfältig gestaltete Spear-Phishing-Mails, von denen einige spezifische Informationen zu der jeweiligen anvisierten Organisation enthielten, die zum Zeitpunkt des E-Mail-Versands noch nicht öffentlich waren. Die Phishing-Mails enthielten ein Microsoft-Word-Dokument mit Schadcode, um eine Schwachstelle auszunutzen, mit der beliebiger Code ohne zusätzliche Aktivität ausgeführt werden kann. Die Schwachstelle existiert in veralteten Versionen des Microsoft Equation Editor, einer Komponente von Microsoft Office.
Die Angreifer nutzten gleichzeitig sechs verschiedene Backdoors, um zusätzliche Kommunikationskanäle mit den infizierten Systemen einzurichten – für den Fall, dass eines der Schadprogramme von einer Sicherheitslösung entdeckt und entfernt wurde. Diese Backdoors bieten umfangreiche Funktionen zur Kontrolle infizierter Systeme und zum Sammeln vertraulicher Daten. Die letzte Phase des Angriffs bestand darin, den Domain-Controller zu übernehmen und die vollständige Kontrolle über alle Workstations und Server des Unternehmens zu erlangen. In einem Fall war es den Angreifern sogar möglich, das Kontrollzentrum für Cybersicherheitslösungen zu übernehmen.
Nachdem die Angreifer Domain-Administratorrechte und Zugriff auf das Active Directory erhalten hatten, führten sie einen sogenannten „Golden Ticket“-Angriff durch, um sich als beliebige Nutzerkonten von Organisationen auszugeben und nach Dokumenten sowie anderen Dateien zu suchen, die vertrauliche Daten der angegriffenen Organisation enthielten. Die exfiltrierten Daten hosteten die Angreifer auf Servern in verschiedenen Ländern.
„Golden-Ticket-Angriffe nutzen das Default Authentication Protocol, das seit der Verfügbarkeit von Windows 2000 verwendet wird“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte im ICS CERT Kaspersky. „Durch das Fälschen von Kerberos Ticket Granting Tickets (TGTs) innerhalb des Unternehmensnetzwerks können die Angreifer auf jeden Dienst, der zum Netzwerk gehört, zugreifen und das für unbegrenzte Zeit. Infolgedessen reicht es nicht aus, nur Passwörter zu ändern oder kompromittierte Konten zu sperren. Unsere Empfehlung: alle verdächtigen Aktivitäten sorgfältig überprüfen und vertrauenswürdige Sicherheitslösungen einsetzen.“
Kaspersky-Empfehlungen zum Schutz von ICS-Computern
Betriebssysteme und Anwendungssoftware, die Teil des Unternehmensnetzwerks sind, regelmäßig aktualisieren. Alle Sicherheitsfixes und Patches auf IT- und OT-Netzwerkgeräten installieren, sobald diese verfügbar sind.
Regelmäßig Sicherheitsaudits von IT- und OT-Systemen durchführen, um mögliche Schwachstellen zu identifizieren und zu beseitigen.
Eine dedizierte ICS-Lösung zur Überwachung, Analyse und Erkennung des Netzwerkverkehrs für einen besseren Schutz vor Angriffen nutzen.
Spezielle Sicherheitsschulungen für IT-Sicherheitsteams und OT-Ingenieure durchführen, um die Reaktion auf neue und fortschrittliche schädliche Techniken zu verbessern.
Das Sicherheitsteam, das für den Schutz industrieller Steuerungssysteme verantwortlich ist, sollte stets Zugriff auf aktuelle Bedrohungsinformationen haben. Der Kaspersky ICS Threat Intelligence Reporting Service bietet Einblicke in aktuelle Bedrohungen und Angriffsvektoren sowie die anfälligsten Elemente in OT- und industriellen Kontrollsystemen und wie man diese blockiert.
Eine Sicherheitslösung für OT-Endpunkte und -Netzwerke wie Kaspersky Industrial CyberSecurity nutzen, um umfassenden Schutz für alle branchenkritischen Systeme zu gewährleisten.
Des Weiteren sollte auch die IT-Infrastruktur geschützt werden. Integrierte Endpoint-Security-Lösungen schützen alle Endpoints und ermöglichen automatisierte Funktionen zur Erkennung und Reaktion auf Bedrohungen.