Spione, die sich als Hacker tarnen

Der APT-Fallout von Schwachstellen wie ProxyLogon in Exchange (Hafnium), OGNL Injection und log4shell

ProxyLogon in Exchange, OGNL injection in Confluence, log4shell in der Bibliothek log4j. 2021 hat von kritischen Sicherheitslücken nur so gestrotzt. Sie wurden ausgenutzt durch Ransomware Gangs und Cryptominer. Aber wo waren eigentlich die professionellen Spione, die APT-Gruppen? Haben die sich solche Gelegenheiten entgehen lassen und Urlaub vom Cyber-Krieg genommen? Sicher nicht. Und wir haben Beweise gesammelt.

Die Nutznießer des Streufeuers

Die APT-Gruppe Emissary Panda (auch bekannt als APT27, LuckyMouse) hat die Microsoft Exchange Schwachstelle „ProxyLogon“, im allgemeinen bekannt als „Hafnium“-Schwachstelle, ausgenutzt, um gezielt Industriespionage zu betreiben. Das besonders Perfide daran: Sie haben bewusst den Anschein erweckt „Wald- und Wiesen-Hacker" zu sein, um keine umfassenden Remediation-Maßnahmen auf den Plan zu rufen. Und das mit Erfolg.

Wir haben verschiedene Vorfälle analysiert und festgestellt, dass manche Kunden eine ProxyLogon-Kompromittierung nicht ernsthaft weiterverfolgten, weil es auf den ersten Blick nach einen Angriff eines Gelegenheitstäters aussah. So gelang es Emissary Panda (APT27), über Monate hinweg unbemerkt die klassische APT Kill Chain zu durchlaufen und Geschäftsgeheimnisse zu stehlen. 

Unser Bericht liefert nicht nur Hintergründe und Details zum Ablauf, zu den TTPs und den IOCs, sondern auch erste Beweise, dass die OGNL injection in Confluence ebenfalls für gezielte Industriespionage von Interesse war und ist. 

Das PDF richtet sich an Security Experten. Die Erkenntnisse daraus sind aber auch und insbesondere für Entscheider in Unternehmen wichtig und deshalb auf dieser Seite zusammengefasst.

Strategien für Cyber Security 2022

Das Jahr 2022 wird sicher keine ruhiges Jahr in der Cyber Security. Die Auswirkungen der globalen Schwachstellen aus 2021 kommen erst nach und nach ans Licht... oder wie es ein deutscher Fußball-Manager einmal so treffend formuliert hat: „Erst wenn der Schnee schmilzt, siehst Du, wo die Kacke liegt".

Wir müssen davon ausgehen, dass nach wie vor zahlreiche APT-Kompromittierungen durch ProxyLogon (Exchange), OGNL Injection (Confluence) und log4shell (Log4j) unentdeckt sind. Gerade bei log4shell ist der typische Entdeckungszeitraum von 3 - 6 Monaten noch gar nicht erreicht.   

Zusätzlich werden auch in 2022 wieder globale Schwachstellen gefunden und ausgenutzt werden. Alles andere würde an ein Wunder grenzen. Unternehmen sind also gut beraten, sich darauf vorzubereiten. Wir haben auf Basis unserer Erfahrungen und Erkenntnisse folgende Empfehlungen:

Prediction

  • Abonnieren Sie Vendor Advisory Feeds
    Ab Veröffentlichung der Security-Meldung tickt die Uhr. Wenn Sie Schwachstellen erst von Behörden oder aus Zeitungen erfahren, ist es oftmals schon zu spät.
  • Asset management rules! Kümmern Sie sich um Ihre CMDB
    Nur wenn Sie Ihre Systeme wirklich kennen, können Sie schnell genug herausfinden, ob Sie von einer Schwachstelle betroffen sind.
  • Nehmen Sie jede Kompromittierung ernst
    Unsere Analysen beweisen, dass sich APT-Gruppen als „Hacker aus der Masse“ tarnen und auch mal einen Cryptominer als Honeypot für die Forensiker hinterlassen, in der Hoffnung, dass der Fall dann nicht weiter untersucht und betroffene Systeme nicht neu aufgesetzt werden.

Prediction

Vor die Welle kommen
< >

Protection

  • Patchen Sie kritische Schwachstellen sofort
    Alle großen Schwachstellen aus 2021 wurden innerhalb von Stunden ausgenutzt. Ein „Ich patche einmal im Monat“ – Prozess ist für solche kritischen Events tödlich.
  • Erstellen Sie einen Plan B wie BCM
    Manchmal sind Patches gar nicht verfügbar oder können aus bestimmten Gründen nicht sofort installiert werden. Dann sollten Sie betroffene Services zusätzlich schützen oder sie vorübergehend deaktivieren. Dazu sollten Sie aber den Business Impact verstehen. Und genau hier beginnt BCM. Welche Services sind wie kritisch für Ihr Geschäft und was würde ein vorübergehender Verlust bedeuten?   
  • Alarmbereitschaft spart Zeit und Geld
    Überproportional viele Angriffe starten am Wochenende. Warum nur? Hacker nehmen keine Rücksicht auf Wochenenden und Feiertage, sie nutzen sie aus! Deshalb sollte ein funktionsfähiges Notfallteam auch am Wochenende reagieren können, und zwar nicht nur in der IT, sondern auch im Management. Gravierende Entscheidungen müssen auch Samstagmorgen um 3 Uhr getroffen werden können. Eine Investition, die sich im Ernstfall sehr schnell amortisiert.
  • Jede kritische Schwachstelle ist gleich wichtig
    Wir können Aussagen wie „Ich kann nicht ständig Exchange patchen“ wirklich gut verstehen, auch wir sind manchmal müde von Incidents. Aber das ist vergleichbar mit eine Antilope, die dem ersten Löwen entkommt und erschöpft beim zweiten Löwen sagt: „Hey, ich kann nicht schon wieder rennen“.  

Protection

Nicht aussitzen, sondern handeln
< >

Detection/Response

  • Gegen Profis helfen nur Profis
    Die Erkennung nicht offensichtlicher Schwachstellen und professioneller Angriffe ist alles andere als trivial. Sichern Sie sich entsprechende Skills, entweder im eigenen CDC oder durch Verträge mit Dienstleistern. Für „Flächenbrände“ wie Hafnium oder Log4j gibt es viel zu wenig Incident Response Profis.
  • Die „Mean time to detect“ (MTD) muss runter
    Ein infiziertes Endgerät darf Sie heute nicht mehr umbringen. Punkt. „Assume compromise“ lautet seit Jahren die Security-Devise. Der „Genickbruch“ tritt i.d.R. auch erst nach ca. 2 Wochen (APT-Ransomware) bis 6 Monaten (APT-Spionage) ein. Wenn eine Kompromittierung innerhalb einer Woche entdeckt wird, stehen die Chancen gut, mit einem blauen Auge davonzukommen.
  • Über den Tellerrand blicken
    Fokussieren Sie sich nicht nur auf das infizierte Endgerät. Das ist ja meist nur der Eintrittspunkt. Jede Kompromittierung erfordert kriminalistisches Gespür. Welche Credentials konnte der Angreifer evtl. erbeuten? Wohin kann er damit kommen? Welche Systeme sind überhaupt erreichbar? Befinden sich auf diesen vergleichbare IOCs?

Detection/Response

Die nächste Schwachstelle kommt bestimmt
< >