Nationalstaatliche Hacker-Gruppe nutzt Mining-Techniken, um sich zu verstecken

Nationalstaatliche Hacker-Gruppe nutzt Mining-Techniken, um sich zu verstecken
Geschrieben von:
Jinia Shawdagor
Dezember 3, 2020
  • BISMUTH ist seit 2012 in Betrieb, setzt aber erst seit kurzem XMR-Miners ein
  • Laut dem Microsoft Threat Intelligence Team gelten Krypto-Miners nicht als ernsthafte Bedrohung
  • Die Aufklärung der Endbenutzer über den Schutz personenbezogener Daten ist eine der Möglichkeiten, solche Angriffe einzudämmen

BISMUTH, eine nationalstaatliche Hacker-Gruppe, nutzt nach Angaben des Microsoft 365 Defender Threat Intelligence-Teams Krypto-Mining-Techniken, um ihre Angriffe zu verschleiern. Das Team enthüllte diese Nachricht am 30. November in einem Bericht, in dem es feststellte, dass die Hackergruppe jetzt neben ihren regulären Cyberspionage-Toolkits auch Malware zum Krypto-Mining einsetzt.

Laut dem Bericht führt BISMUTH seit 2012 ausgefeilte Cyberspionage-Angriffe durch und nutzt dabei sowohl benutzerdefinierte als auch Open-Source-Tools. Die Gruppe hat Berichten zufolge große multinationale Unternehmen, Finanzdienstleistungen der Regierungen, Bildungseinrichtungen sowie Menschenrechts- und Bürgerrechtsorganisationen ins Visier genommen. Laut dem Microsoft Threat Intelligence-Team haben die jüngsten Angriffe von BISMUTH jedoch eine neue Form angenommen. Zum Beispiel hob das Team die Angriffe der Gruppe von Juli bis August 2020 hervor und stellte fest, dass die Gruppe Monero (XMR)-Miners eingesetzt hat, die sowohl auf private als auch auf staatliche Einrichtungen in Frankreich und Vietnam zielten.

Sind Sie auf der Suche nach Schnell-Nachrichten, Hot-Tips und Marktanalysen? Dann melden Sie sich noch heute für den Invezz-Newsletter an.

Das Microsoft 365 Defender Threat Intelligence-Team erklärte, wie BISMUTH diese Angriffe ausgeführt hat:

„Krypto-Miners werden typischerweise mit cyberkriminellen Operationen in Verbindung gebracht und nicht mit hochentwickelten Aktivitäten von nationalstaatlichen Akteuren. Sie sind nicht die raffinierteste Art von Bedrohungen, was auch bedeutet, dass sie nicht zu den kritischsten Sicherheitsproblemen gehören, die Defenders mit Dringlichkeit angehen.“

Als solche nutzte die Gruppe die Warnungen mit niedriger Priorität der Krypto-Miners, um zu versuchen, ihre Persistenz zu etablieren, während sie unbemerkt blieb.

Einblenden, um Vertrauen mit den Zielen zu schaffen

Nach Angaben des Microsoft 365 Defender Threat Intelligence-Teams blieb das operative Ziel von BISMUTH, eine kontinuierliche Überwachung einzurichten und nützliche Daten zu extrahieren, unverändert. Der Einsatz von XMR-Miners öffnete jedoch die Tür für andere Angreifer, um kompromittierte Netzwerke zu monetarisieren. Das Team gab zu, dass der Einsatz von Krypto-Miners unerwartet kam. Dennoch fügte das Team schnell hinzu, dass der Schritt mit der Methode der Gruppe, sich einzublenden, übereinstimmte.

Das Threat Intelligence-Team bemerkte:

„Dieses Muster der Einblendung zeigt sich besonders deutlich bei diesen jüngsten Angriffen, beginnend mit der Zugangsphase: Spear-Phishing-E-Mails, die speziell für einen bestimmten Empfänger pro Zielorganisation erstellt wurden und Anzeichen einer vorherigen Aufklärung zeigten. In einigen Fällen korrespondierte die Gruppe sogar mit den Zielpersonen, wodurch sie noch glaubwürdiger wurde, um sie davon zu überzeugen, den bösartigen Anhang zu öffnen und die Infektionskette zu starten.“

Dem Bericht zufolge konnte BISMUTH durch den Einsatz von Krypto-Miners mehr schädliche Aktivitäten hinter Bedrohungen verbergen, die von vielen Systemen als Commodity-Malware bezeichnet wurden. Weiter hieß es in der Publikation, dass Netzbetreiber im Umgang mit Commodity Banking-Trojans, die menschlich betriebene Lösegeldforderungen einführen, Malware-Infektionen mit Dringlichkeit behandeln sollten, da sie den Beginn raffinierterer Angriffe andeuten können.

Wirksame Mittel zur Eindämmung solcher Angriffe

In dem Bericht wurden einige Möglichkeiten aufgezeigt, wie Unternehmen die Widerstandsfähigkeit gegen solche Angriffe verbessern können, und es wurde darauf hingewiesen, dass Netzwerke ihre Endbenutzer über den Schutz ihrer persönlichen und geschäftlichen Informationen in sozialen Medien informieren sollten. Der Bericht empfahl den Benutzern auch, die E-Mail-Filtereinstellungen von Office 365 zu konfigurieren, „Surface Reduction Rules“ zu aktivieren, Makros zu verbieten oder nur Makros von bekannten Standorten zuzulassen und die Einstellungen von Perimeter-Firewall und Proxy zu überprüfen, um Server daran zu hindern, willkürliche Verbindungen zum Internet herzustellen.

Darüber hinaus schlug die Publikation vor, dass Benutzer starke, randomisierte Administrator-Passwörter einsetzen, Multi-Faktor-Authentifizierung verwenden und die Verwendung von domänenweiten Dienstkonten auf Administratorebene vermeiden sollten.