BANGKOK (AP) – Eine chinesische Hacking-Gruppe, die wahrscheinlich staatlich gefördert wird und zuvor mit Angriffen auf Computer der US-Bundesstaatsregierung in Verbindung gebracht wurde, ist immer noch „sehr aktiv“ und konzentriert sich auf eine breite Palette von Zielen, die für China von strategischem Interesse sein könnten Regierungs- und Sicherheitsdienste, sagte eine private amerikanische Cybersicherheitsfirma in einem neuen Bericht am Donnerstag.
Die Hacking-Gruppe, die der Bericht RedGolf nennt, überschneidet sich so eng mit Gruppen, die von anderen Sicherheitsunternehmen unter den Namen APT41 und BARIUM verfolgt werden, dass angenommen wird, dass sie entweder identisch oder sehr eng miteinander verbunden sind, sagte Jon Condra, Director of Strategic and Persistent Bedrohungen für die Insikt Group, die Abteilung für Bedrohungsforschung des in Massachusetts ansässigen Cybersicherheitsunternehmens Recorded Future.
In Anlehnung an frühere Berichte über APT41- und BARIUM-Aktivitäten und die Überwachung der angegriffenen Ziele sagte die Insikt Group, sie habe in den letzten zwei Jahren eine Gruppe von Domänen und Infrastrukturen identifiziert, die „höchstwahrscheinlich in mehreren Kampagnen von RedGolf verwendet wurden“.
„Wir glauben, dass diese Aktivität aufgrund der Überschneidungen mit zuvor gemeldeten Cyberspionage-Kampagnen wahrscheinlich eher zu Geheimdienstzwecken als zu finanziellen Zwecken durchgeführt wird“, sagte Condra in einer per E-Mail gesendeten Antwort auf Fragen von The Associated Press.
Chinas Außenministerium wies die Anschuldigungen zurück und sagte: „Dieses Unternehmen hat in der Vergangenheit mehr als einmal falsche Informationen über sogenannte ‚chinesische Hackerangriffe’ herausgegeben. Ihre relevanten Handlungen sind grundlose Anschuldigungen, weit hergeholt und es mangelt ihnen an Professionalität.“
Die chinesischen Behörden haben konsequent jede Form von staatlich gefördertem Hacking bestritten und stattdessen erklärt, China selbst sei ein Hauptziel von Cyberangriffen.
APT41 war in ein US-Justizministerium von 2020 verwickelt Anklageschrift, in der chinesische Hacker beschuldigt wurden, mehr als 100 Unternehmen und Institutionen in den USA und im Ausland angegriffen zu haben, darunter Unternehmen für soziale Medien und Videospiele, Universitäten und Telekommunikationsanbieter.
In ihrer Analyse sagte die Insikt Group, sie habe Beweise dafür gefunden, dass RedGolf in einer Vielzahl von Ländern und Branchen „sehr aktiv bleibt“ und „auf Luftfahrt, Automobil, Bildung, Regierung, Medien, Informationstechnologie und religiöse Organisationen abzielt“.
Die Insikt Group identifizierte keine konkreten Opfer von RedGolf, sagte jedoch, dass sie Scan- und Exploit-Versuche verfolgen konnte, die auf verschiedene Sektoren mit einer Version der KEYPLUG-Backdoor-Malware abzielten, die auch von APT41 verwendet wird.
Insikt sagte, es habe neben KEYPLUG mehrere andere bösartige Tools identifiziert, die von RedGolf verwendet werden, „die alle häufig von vielen staatlich geförderten chinesischen Bedrohungsgruppen verwendet werden“.
Im Jahr 2022 meldete die Cybersicherheitsfirma Mandiant, dass APT41 dafür verantwortlich sei für Verletzungen der Netzwerke von mindestens sechs US-Bundesstaaten, auch unter Verwendung von KEYPLUG.
In diesem Fall nutzte APT41 eine zuvor unbekannte Schwachstelle in einer handelsüblichen kommerziellen Webanwendung aus, die laut Mandiant, die jetzt zu Google gehört, von 18 Bundesstaaten für das Tiergesundheitsmanagement verwendet wird. Es wurde nicht festgestellt, welche Systeme der Staaten kompromittiert wurden.
Mandiant nannte APT41 „eine produktive Cyber-Bedrohungsgruppe, die staatlich geförderte chinesische Spionageaktivitäten zusätzlich zu finanziell motivierten Aktivitäten durchführt, die möglicherweise außerhalb der staatlichen Kontrolle liegen“.
Cyber-Intelligence-Unternehmen verwenden unterschiedliche Tracking-Methoden und benennen die Bedrohungen, die sie identifizieren, oft anders, aber Condra sagte, dass sich APT41, BARIUM und RedGolf „wahrscheinlich auf dieselbe Gruppe von Bedrohungsakteuren oder -gruppen beziehen“, aufgrund von Ähnlichkeiten in ihrer Online-Infrastruktur, ihren Taktiken, Techniken und Verfahren.
„RedGolf ist eine besonders produktive, staatlich geförderte Gruppe chinesischer Bedrohungsakteure, die wahrscheinlich seit vielen Jahren gegen eine Vielzahl von Branchen weltweit aktiv ist“, sagte er.
„Die Gruppe hat bewiesen, dass sie in der Lage ist, neu gemeldete Schwachstellen schnell als Waffe einzusetzen, und hat eine lange Geschichte in der Entwicklung und Verwendung einer großen Auswahl an benutzerdefinierten Malware-Familien.“
Die Insikt Group kam zu dem Schluss, dass die Verwendung von KEYPLUG-Malware über bestimmte Arten von Befehls- und Kontrollservern durch RedGolf und ähnliche Gruppen „sehr wahrscheinlich fortgesetzt wird“, und empfahl Kunden, sicherzustellen, dass sie blockiert werden, sobald sie entdeckt werden.