Zero-Day-Lücke in Barracudas ESG: Die Spur führt nach China
Angreifer haben etwa hochrangige Stellen in Hongkong und Taiwan ausspionieren wollen. Auf die Patches haben sie umgehend mit eigenen Gegenmaßnahmen reagiert.
(Bild: Herr Loeffler/Shutterstock.com)
- Frank Schräer
Chinesische Cyber-Spione stecken hinter den Angriffen auf die "Email Security Gateways" (ESG) von Barracuda, haben die IT-Sicherheitsforscher von Mandiant herausgefunden. Die Angreifer haben eine Sicherheitslücke ausgenutzt. Als diese geschlossen wurde, haben die Cyberkriminellen sofort ihre Malware modifiziert und zusätzliche Aktionen eingeleitet, um weiterhin Zugang zu den Systemen zu erhalten.
Nachdem die Zero-Day-Lücke in Barracudas "Email Security Gateway" Ende Mai gefunden worden war, stellte sich heraus, dass das Leck in Barracudas ESG bereits seit 7 Monaten missbraucht wurde. Die Angreifer haben über spezielle E-Mail-Anhänge Malware auf den Systemen installiert, die als persistente Hintertür fungierte. Über "Saltwater" etwa konnten beliebige Dateien hoch- oder heruntergeladen, Befehle ausgeführt sowie Proxy- und Tunnel-Funktionen bereitgestellt werden. Dagegen geben sich "Seaspy" und "Seaside" als legitime Barracuda-Dienste aus, sind aber Hintertüren für eine Überwachung des Datenverkehrs.
Kostenloser Austausch von Barracuda
Letzte Woche appellierte der Hersteller sogar, dass Admins attackierte Barracuda ESG sofort ersetzen müssen. Das automatisch verteilte Sicherheitsupdate funktioniert offensichtlich nicht wie gewünscht und der Hersteller rät dringend zum Austausch der attackierten Geräte. Der Austausch sollte nicht aus Kostengründen abgelehnt werden, denn Barracuda verspricht, allen kompromittierten Kunden neue Geräte kostenlos zur Verfügung zu stellen. Zudem empfiehlt der Hersteller, die eigenen Netzwerke eingehend auf eine eventuelle Verbreitung der Malware zu prüfen.
Nach Fund der Sicherheitslücke hat Barracuda die IT-Sicherheitsforscher von Mandiant für eine eingehende Untersuchung hinzugezogen. Dabei hat Mandiant Angreifer aus China identifiziert, die sie mangels Einordnung nur UNC4841 nennen. Mit hoher Wahrscheinlichkeit handelt es sich um aggressive und geschickte Spione, die mit ihren Aktionen im Interesse der Volksrepublik handeln, erklärt das zu Google gehörende Mandiant-Team.
Spam mit gefährlichem Anhang
Zunächst hätten die Cyberkriminellen E-Mails an bestimmte, im Visier der Angreifer stehende Organisationen geschickt. Die E-Mails waren aber so gestaltet, dass sie vom System als Spam erkannt und direkt in den Papierkorb geleitet werden sollten. Damit sollte eine Erkennung und Untersuchung vermieden werden. Die E-Mail enthielten aber einen Anhang, der die als CVE-2023-2868 bezeichnete Sicherheitslücke ausnutzt, um Zugang zu den Systemen zu erhalten.
War der Zugang hergestellt, wurden die ESG-Geräte dazu missbraucht, um E-Mails an andere Geräte zu schicken, um sich weiter im Netzwerk auszubreiten. Das Ziel war die Sammlung spezifischer Daten, etwa von hochrangigen Regierungsstellen oder akademischen Forschungsorganisationen, insbesondere in Taiwan und Hongkong, aber auch von amerikanischen und europäischen Niederlassungen in Südostasien.
Regierungsstellen im Fokus der Spione
"Darüber hinaus suchten die Akteure nach E-Mail-Konten von Personen, die für eine Regierung mit politischem oder strategischem Interesse für die Volksrepublik China arbeiteten, während diese Regierung gleichzeitig an hochrangigen diplomatischen Treffen mit anderen Ländern teilnahm", heißt es seitens Mandiant weiter.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zwar seien etwas mehr als Hälfte der angegriffenen Organisationen in Amerika angesiedelt, wobei Asien und Europa bei 22 und 24 Prozent ausmachen, aber das dürfte an der Verbreitung der Barracuda-Systeme liegen. Da fast ein Drittel der angegriffenen Organisationen Regierungsstellen waren, sieht sich Mandiant bestätigt, dass es sich bei den Angreifern um Cyberkriminelle mit Spionageabsichten handelt.
(fds)