Symantec: Chinesische Hacker haben es auf Satelliten abgesehen

Hacker aus China haben versucht, Firmen auszuspionieren, die Satellitenkommunikation betreiben. Außerdem besteht die Vermutung, dass Sabotage vorbereitet wurde.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Symantec: Chinesische Hacker haben es auf Satelliten abgesehen

(Bild: Symantec)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Eine vermutlich aus China agierende Hackergruppe hat versucht, die Kontrolle über Steuerungssysteme für Satelliten zu erlangen. Das geht aus einem Bericht über die Gruppe namens Thrip vor, den die Sicherheitsfirma Symantec jetzt vorgelegt hat.

Neben Firmen, die sich mit Satelliten-Kommunikation und weltraumgestützter Bildanalyse beschäftigen, haben die Angreifer es wohl auch auf Telekommunikations-Anbieter und mindestens einen Rüstungskonzern abgesehen. Ziel der Angriffe scheint Spionage gewesen zu sein. Allerdings spekuliert Symantec auch, dass die Angreifer Fehlinformationen in Satellitenkommunikation einschleusen wollten – oder sogar schlimmeres mit den Satelliten vorhatten.

Die Sicherheitsforscher geben an, dass die Angriffe schwer zu entdecken waren. Symantec hat sie nach eigenen Angaben mit einer Technik entdeckt, die KI-Systeme und Machine Learning einsetzt, um verdächtige Angriffsmuster – sogenannte Indicators of Compromise (IOCs) – zu entdecken. Die Angreifer haben eine Technik eingesetzt, die Symantec "Living Off The Land" getauft hat; zu deutsch: sich von der Natur ernähren. Damit meinen die Sicherheitsforscher, dass die Angreifer wenn möglich Tools und Techniken einsetzen, die auf den Zielsystemen schon vorhanden sind und von legitimen Administratoren bei ihrer täglichen Arbeit eingesetzt werden.

Im Fall der Satellitenhacker Thrip war das vor allem das Window-Bordwerkzeug Powershell und die Admin-Tools PsExec, WinSCP und LogMeIn. Das einzige eindeutig als Hacker-Tool zu klassifizierende Programm, das sie ebenfalls verwendeten, war das Einbruchswerkzeug Mimikatz. So bewegten sie sich durch die Netzwerke, ohne viele Spuren zu hinterlassen, bis sie dann auf ganz bestimmten Rechnern speziell zugeschnittene Malware verteilten. Laut Symantec nutzen immer mehr Angreifer Living-Off-The-Land-Techniken, um der Entdeckung durch AV-Software zu entgehen.

Ob es sich bei den Angreifern um eine staatlich-finanzierte Gruppe handelt, lässt Symantec offen. Die Angreifer seien von Rechnern in die Firmennetze eingestiegen, die in China standen. Die Zielfirmen saßen vorwiegend in Südost-Asien, aber auch in den USA. (fab)