Deutschland
 

Cyberspionage-Angriff

Chinesische Hacker spionieren australische Organisationen aus

Eine mutmaßlich vom chinesischen Staat unterstützte Cyberattacke zielte drei Monate lang auf die australische Regierung ab. Die Angreifer hatten es auf sensible Informationen über Verteidigung und Energie abgesehen.
Von 
CSO | 31. August 2022 15:55 Uhr
Sicherheitsforscher haben kürzlich eine Phishing-Angriffswelle entdeckt, die auf australische Behörden und Medienunternehmen zielt. Hinter den Angriffen soll eine chinesische Hackergruppe stecken.
Sicherheitsforscher haben kürzlich eine Phishing-Angriffswelle entdeckt, die auf australische Behörden und Medienunternehmen zielt. Hinter den Angriffen soll eine chinesische Hackergruppe stecken.
Foto: vchal - shutterstock.com

Sicherheitsforscher von Proofpoint und PwC haben eine Cyberspionagekampagne aufgedeckt, die sich gegen australische Behörden und Medienunternehmen richtet. Die Angriffe fanden von April bis Juni 2022 statt und werden der chinesischen APT-Hackergruppe TA423/Red Ladon zugeschrieben. Nach eigenen Angaben entdeckten die Forscher, dass Mitarbeiter von Regierungsbehörden mit Phishing-E-Mails bombardiert wurden, die einen schädlichen Link zu einer gefälschten Nachrichtenseite namens "Australian Morning News" enthielten. Die Mails seien über Gmail- und Outlook-Adressen versendet worden, heißt es.

Sobald eine Zielperson auf den Link geklickt hatte, wurde das System mit einer JavaScript-ScanBox-Malware infiziert, erklären die Security-Forscher. Das Spionage-Tool habe es den Angreifern ermöglicht, Profile der Opfer zu erstellen und weitere Malware an ausgewählte Ziele zu liefern. Laut Proofpoint konnten die Hacker damit folgende Infos sammeln:

  • Abfrage der aktuellen Uhrzeit

  • Abfrage der Sprache des Browsers

  • Abfrage der Haupt- und Nebenversion von Adobe Flash, die auf dem Browser des Opfers installiert sind, falls vorhanden

  • Prüfung, ob es sich bei dem Browser des Opfers um Safari oder Internet Explorer handelt

  • Prüfung, ob C2 aktiv ist und antwortet

  • Standort (d.h. die besuchte URL)

  • Die URL, von der das Opfer umgeleitet wurde;

  • Titel der besuchten Webseite;

  • Die besuchte Domain;

  • Referrer

  • Benutzer-Agent

  • Cookie

  • Zeichenkodierung

  • Breite und Höhe des Bildschirms

  • Betriebssystem

  • Sprache

  • Farbtiefe des Bildschirms

  • Laden weiterer ScanBox-Plugins und Kommunikation der Antworten im JSON-Format (JavaScript Object Notation)

Akteure im Südchinesischen Meer im Fokus der Angreifer

TA423 / Red Ladon - auch bekannt als Leviathan/APT40 - ist eine in China ansässige, hauptsächlich mit Spionage befasste Hackerbande. Sie soll seit 2013 aktiv sein und als Reaktion auf die politischen Ereignisse in der asiatisch-pazifischen Region agieren. "TA423 ist eine der aktivsten Gruppen. Sie unterstützt die chinesische Regierung unter anderem bei Aktivitäten gegen Anrainer des Südchinesischen Meeres, auch während der jüngsten Spannungen mit Taiwan", erklärt Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint. Der Experte geht davon aus, dass die Hacker ihre Angriffe auf Länder wie Malaysia, Singapur, Taiwan und Australien auf unbestimmte Zeit fortsetzen werden.

Die Cybergang soll auch an einem Verstoß gegen die Nationale Wahlkommission Kambodschas vor den Wahlen im Jahr 2018 beteiligt gewesen sein. Die Angreifer hätten damals eine ähnliche Methode eingesetzt, die auf hochkarätige Regierungsstellen abzielte, so Proofpoint.

Lesetipps: Cyberkrieg - Chinesische Hacker nehmen Europa ins Visier

Cyberspionage - Chinesische Hacker spionieren russisches Militär aus

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: