Vermutlich chinesische Hacker haben in jüngsten Angriffen gezielt Regierungs- und regierungsnahe Organisationen weltweit ins Visier genommen und infiltriert, wobei der Schwerpunkt auf einer Zero-Day-Schwachstelle der Barracuda Email Security Gateway (ESG) lag, mit Fokus auf Einrichtungen in den Amerikas.

Fast ein Drittel der in dieser Kampagne kompromittierten Geräte gehörten zu Regierungsbehörden, die meisten davon zwischen Oktober und Dezember 2022, laut einem heute veröffentlichten Bericht von Mandiant.

„Bemerkenswerterweise wurden unter den identifizierten betroffenen Organisationen in Nordamerika zahlreiche staatliche Ämter auf staatlicher, Provinz-, Kreis-, Stammes-, Stadt- und Gemeindeebene in dieser Kampagne ins Visier genommen“, so Mandiant.

„Während insgesamt die gezielte Ausrichtung auf lokale Regierungen knapp unter sieben Prozent aller identifizierten betroffenen Organisationen ausmacht, steigt diese Statistik auf fast siebzehn Prozent im Vergleich zur alleinigen Ausrichtung auf die USA.“

Die Motivation für die Angriffe war Spionage, wobei die Bedrohungsakteure (verfolgt als UNC4841) sich auf gezielte Exfiltration aus Systemen hochrangiger Nutzer in Regierung und High-Tech-Bereichen spezialisierten.

Barracuda warnte seine Kunden am 20. Mai davor, dass die Schwachstelle ausgenutzt wurde, um ESG-Geräte zu kompromittieren, und patchte dabei alle anfälligen Geräte remote.

Zehn Tage später enthüllte das Unternehmen auch, dass der Zero-Day-Bug mindestens sieben Monate lang in Angriffen ausgenutzt wurde, mindestens seit Oktober 2022, um zuvor unbekannte Malware einzuschleusen und Daten von kompromittierten Systemen zu stehlen.

Eine Woche später wurden die Kunden davor gewarnt, gehackte Geräte sofort zu ersetzen, sogar solche, die bereits gepatcht waren (laut Mandiant waren etwa 5% aller ESG-Geräte von den Angriffen betroffen).

Die Angreifer setzten zuvor unbekannte Malware ein, darunter SeaSpy und Saltwater, sowie ein schädliches Tool namens SeaSide, um über Reverse Shells Remote-Zugriff auf kompromittierte Systeme zu erhalten.

Die Cybersecurity and Infrastructure Security Agency (CISA) teilte ebenfalls Details über die Malware Submarine (auch bekannt als DepthCharge) und Whirlpool mit, die in denselben Angriffen als spätere Payloads eingesetzt wurden, um die Persistenz nach Barracudas Warnung vom 20. Mai auf einer geringen Anzahl zuvor kompromittierter Geräte aufrechtzuerhalten, von denen Mandiant annimmt, dass sie hochwertige Ziele waren.

Dies „deutet darauf hin, dass trotz der globalen Reichweite dieser Operation diese nicht auf Gelegenheit beruhte und UNC4841 angemessene Planung und Finanzierung hatte, um auf Eventualitäten vorbereitet zu sein, die ihren Zugang zu Zielnetzwerken potenziell stören könnten“, so Mandiant im heutigen Bericht.

„Fortschrittliche Gegner mit umfangreichen Ressourcen, Finanzierung und dem Know-how, weltweite Spionagekampagnen unbemerkt auszuführen, stellen eine Herausforderung dar. Chinesisch-nexus Spionageakteure optimieren ihre Operationen, um wirkungsvoller, unauffälliger und effektiver zu sein“, sagte Austin Larsen, leitender Incident-Response-Berater bei Mandiant.

FBI: Barracuda ESG-Geräte nach wie vor gefährdet

Während Mandiant und Barracuda bisher keine Beweise für neue Kompromittierungen von ESG-Geräten mittels CVE-2023-2868-Exploits nach dem Patchen gefunden haben, warnte das FBI letzte Woche davor, dass die Patches „ineffektiv“ seien und gepatchte Geräte weiterhin in laufenden Angriffen kompromittiert würden.

Die US-Bundespolizei verstärkte auch die Warnung von Barracuda an seine Kunden, dass sie gehackte Geräte isolieren und sofort ersetzen sollten. Sie riet ihnen dazu, ihre Netzwerke auf mögliche Kompromittierungen zu überprüfen und unternehmensweit privilegierte Zugangsdaten (z. B. Active Directory) zu widerrufen und zu erneuern, um die Versuche der Angreifer zur Aufrechterhaltung der Netzwerkpersistenz zu vereiteln.

„Das FBI beobachtet weiterhin aktive Eindringlinge und betrachtet alle betroffenen Barracuda ESG-Geräte als kompromittiert und anfällig für diese Ausnutzung“, erklärte die Behörde.

„Das FBI hat unabhängig bestätigt, dass alle ausgenutzten ESG-Geräte, selbst diejenigen, bei denen Barracuda Patches herausgegeben hat, weiterhin einem Risiko für fortgesetzte Kompromittierungen von mutmaßlichen PRC Cyber-Akteuren ausgesetzt sind, die diese Schwachstelle ausnutzen.“

Die Sicherheitsprodukte von Barracuda werden weltweit von über 200.000 Organisationen genutzt, darunter Regierungseinrichtungen und hochrangige Unternehmen.