In den letzten Jahren ist die Zahl der Cyberangriffe deutlich angestiegen. Hacker greifen dabei nicht nur Privatpersonen, sondern auch große Unternehmen an. Ihr Ziel ist es, umfangreiche Daten zu stehlen oder erhebliche Geldbeträge zu erpressen. Auch Internet-Anbieter sind vor diesen Angriffen nicht sicher.
Internet-Anbieter als Ausgangspunkt
Mindestens seit 2012 reiht sich die mutmaßlich chinesische Hacking-Gruppe StormBamboo, auch bekannt als Evasive Panda oder Daggerfly, in die Reihen der Spionage-Akteure ein. Normalerweise fasst sie dabei Organisationen in Regionen wie Festlandchina, Hongkong, Macao und Nigeria ins Auge, ist jedoch auch darüber hinaus global aktiv. Schon in der Vergangenheit fielen der Gruppe auch Internet-Anbieter (ISPs) zum Opfer. Ihre Mitglieder nutzen ein sogenanntes Domain Name System (DNS)-Poisoning und die Manipulation von Update-Anfragen, um Malware einzuschleusen.
DNS-Poisoning oder -Spoofing ist ein Angriff, bei dem manipulierte Daten in den Cache eines DNS-Resolvers eingefügt werden. Dadurch werden Nutzenden, die legitime Domain-Namen auflösen wollen, zu betrügerischen IP-Adressen geleitet. Das kann dazu führen, dass sie auf gefälschte Websites geschickt werden, die Malware enthalten oder persönliche Informationen stehlen.
Laut einem aktuellen Bericht des IT-Sicherheitsunternehmens Volexity sei StormBamboo im Fall eines namentlich nicht genannten Internet-Anbieters nun aber noch einen Schritt weiter gegangen. Die Gruppe habe das Poisoning mit dem Angriff unsicherer Update-Mechanismen kombiniert, um den Anbieter als eine Art Ausgangspunkt zu nutzen. Auf diese Weise seien die Hackerinnen und Hacker dazu in der Lage, dessen Kundschaft auf macOS und Windows großflächig zu attackieren.
Auch interessant: Vorsicht, Malware: Windows-Update lockt Nutzer in diese perfide Falle
Angriff bestätigt Vermutungen
Die Spionage-Gruppe nutze für ihre Kampagne MACMA. Die Malware ist dazu in der Lage, sensible Informationen wie Browser-Cookies und E-Mail-Daten zu stehlen und diese an von den Angreifenden kontrollierte Server zu senden. Sie tarnt sich häufig als eine legitime Softwareerweiterung oder wie im aktuellen Fall als Update. Damit wollen die Cyberkriminellen ihre Entdeckung verhindern und ihre schädlichen Aktivitäten ungestört im Hintergrund ausführen.
„StormBamboo ist ein hochqualifizierter und aggressiver Bedrohungsakteur, der Dritte (in diesem Fall einen ISP) kompromittiert, um in geplante Ziele einzudringen“, folgerte Volexity. „Die Vielfalt der Malware, die in den verschiedenen Kampagnen dieses Bedrohungsakteurs zum Einsatz kommt, deutet darauf hin, dass ein erheblicher Aufwand betrieben wird, mit aktiv unterstützten Nutzdaten nicht nur für macOS und Windows, sondern auch für Netzwerkgeräte.“
Der Vorfall bestätige damit eine Vermutung, die das Sicherheitsunternehmen ESET bereits im April 2023 aufgestellt hatte. Damals ging es um die mutmaßlich ebenfalls aus der Feder StormBamboos stammende Malware POCOSTICK, auch MgBot genannt. Damals hatte der Akteur keinen Internet-Anbieter, sondern eine namentlich nicht genannte chinesische Software attackiert – die Methode war jedoch ähnlich dem aktuellen Fall.
Auch interessant: Globaler iPhone-Alarm: Apple warnt Nutzer in 98 Ländern vor Virus
So schützt du dich
Um sich vor DNS-Poisoning und Malware-Angriffen wie denen von StormBamboo zu schützen, sollten Nutzer*innen sicherstellen, dass Software-Updates über HTTPS erfolgen und digitale Signaturen validiert werden. Die Implementierung von DNSSEC kann DNS-Anfragen authentifizieren und so DNS-Poisoning verhindern. Regelmäßige Überwachung und Aktualisierung von Firewalls und Netzwerkgeräten helfen, ungewöhnliche Aktivitäten frühzeitig zu erkennen und zu blockieren.
Zusätzlich solltest du Antiviren- und Antimalware-Software stets aktuell halten, um Schadsoftware zu erkennen und zu blockieren. Die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit von Konten und Systemen weiter.
Quellen: Volexity; ESET
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.