Chinesische Hackergruppen haben es vermehrt auf Europa abgesehen

Im aktuellen "APT Activity Report T3 2022" stellt Eset die Untersuchungsergebnisse zu "Advanced Persistent Threat"-(APT)-Gruppen vor. Der Bericht umfasst den Zeitraum September bis Dezember des vergangenen Jahres, worin der IT-Sicherheitsdienstleister seine neuesten Erkenntnisse zu globalen Hackerkampagnen zusammenfasst. Europa rücke verstärkt ins Visier von mit China verbündeten Gruppen. Ausserdem sei die Ukraine weiterhin Ziel von russischen Hackergruppen wie Sandworm, Callisto oder Gamaredon. Zudem agieren mit dem Iran und Nordkorea in Verbindung stehende Akteure weiterhin in grossem Umfang, wie das Unternehmen mitteilt. 

Chinesische Hackergruppen wie Goblin Panda und Mustang Panda würden ihre Aktivitäten normalerweise eher auf Südostasien konzentrieren. "Doch im vergangenen November fanden Eset-Forscher eine neue Backdoor namens TurboSlate in einer Regierungsorganisation in der Europäischen Union", führt Jan-Ian Boutin, Direktor Threat Research, aus. Eset habe die Malware auf das Kollektiv Goblin Panda zurückführen können, die das Tätigkeitsfeld von Mustang Panda zu kopieren scheint. Mustang Panda habe Anfang 2022 damit begonnen, sich auf Europa zu konzentrieren. "Die Cyberspionage-Gruppe ist dafür bekannt, Regierungseinrichtungen, Unternehmen und Forschungseinrichtungen anzugreifen", erklärt Boutin weiter. 

Cyberkrieg in der Ukraine geht weiter 

Aber auch die Cyberangriffe gegen die Ukraine gehen unbeirrt weiter. Sandworm sei nach wie vor sehr aktiv und setze seine Attacken fort. Im Oktober 2022 habe Eset einen Wiper (NikoWiper) entdeckt, der ein Unternehmen im Energiesektor der Ukraine angegriffen habe. Obwohl Eset nicht zweifelsfrei belegen kann, dass Sandworm und das russische Militär die gleichen Ziele verfolgen, ist ein Umstand jedoch auffällig: Der Angriff auf das Unternehmen habe zum gleichen Zeitpunkt stattgefunden, als Russland damit begann, seine Raketenangriffe auf die Energieinfrastruktur zu fokussieren. 

Die russischen APT-Gruppen Callisto und Gamaredon führten indes ihre Spearphishing-Kampagnen gegen die Ukraine fort, wie es weiter heisst. Ihr Ziel sei es, Anmeldedaten zu stehlen und Malware zu installieren. Auch weitere Ransomware-Attacken seien von den Eset-Forschenden aufgedeckt worden, etwa gegen Logistikunternehmen in der Ukraine und Polen. 
 

Iran und Nordkorea weiten Aktionsradius aus

Iranische APT-Gruppen hätten ihre Angriffe ebenfalls fortgeführt. Die Hackergruppe mit dem Namen "POLONIUM" habe sich etwa auf ausländische Tochterfirmen israelischer Unternehmen konzentriert, die ATP-Gruppe MuddyWater werde zudem verdächtigt, einen Sicherheitsdienstleister kompromittiert zu haben. 

Die unter dem Namen Konni operierenden Hacker hätten alte Sicherheitslücken ausgenutzt, um Kryptowährungsfirmen und -börsen in verschiedenen Ländern zu schaden. Eset-Forschende haben ausserdem entdeckt, dass die Gruppe neu in Englisch kommuniziert - bislang war dies nur in russisch und koreanisch der Fall. Die Gruppe wird mit Nordkorea in Verbindung gebracht.

Der APT Activity Report erscheint jeweils als Ergänzung zum Eset Threat Report. Den vollständigen Bericht von Eset finden Sie hier. 

Der Cyberkrieg in der Ukraine hat für die Schweiz weniger Cyberattacken zur Folge. Mehr dazu lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.