In einem aktuellen Flash-Alarm hat das FBI die Nutzer von Sicherheitsanwendungen des Herstellers Barracuda Networks aufgefordert, bereits gepatchte E-Mail-Sicherheitsanwendungen zu entfernen. Allen Versuchen, die größte chinesische Cyber-Spionagekampagne seit Jahren zu unterbinden, hat die US-amerikanische Sicherheitsbehörde damit neue Dringlichkeit verliehen. Tatsächlich hat das FBI festgestellt, dass die Patches, die Barracuda bereitgestellt hat und die eine Zero-Day-Schwachstelle beheben sollen, unwirksam sind. „Das FBI beobachtet weiterhin aktive Eindringlinge und betrachtet alle betroffenen Barracuda ESG Appliances als gefährdet und anfällig“, so die Cyber-Abteilung des FBI. Die Schwachstelle, die von mutmaßlichen Hackern aus Peking ausgenutzt wird, ist als CVE-2023-2868 aufgeführt. „Barracuda-Kunden sollten alle ESG-Appliances sofort entfernen“, heißt die deutliche Warnung.
Anfang Juni forderte Barracuda zuletzt Kunden mit gehackten Email Security Gateway Appliances auf, ihre Geräte sofort auszutauschen, unabhängig davon, ob sie Patches zur Behebung der Schwachstelle installiert hatten. Die Warnung erfolgte, nachdem das Unternehmen weitere bösartige Aktivitäten auf zuvor kompromittierten Appliances beobachtet hatte, selbst nachdem diese mit Sicherheitsfixes aktualisiert worden waren. Es ist zu vermuten, dass chinesische Hacker im Rahmen einer staatlichen Cyber-Spionageoperation die Schwachstelle in der beliebten E-Mail-Sicherheitsanwendung ausgenutzt haben, um Hunderte von Unternehmen zu kompromittieren.
Sicherheitsforscher des inzwischen zu Google Cloud gehörende Cyber-Abwehrunternehmens Mandiant stellten vor einigen Wochen fest, dass die Angreifer spätesten seit dem Herbst letzten Jahres die Zero-Day-Schwachstelle in der Barracuda E-Mail-Sicherheitsanwendung ausnutzen. „Dies ist die umfangreichste Cyberspionage-Kampagne“, kommentierte Charles Carmakal, Chief Technical Officer von Mandiant, die Entwicklung, „die seit der massenhaften Ausnutzung von Microsoft Exchange Anfang 2021 von einem Bedrohungsakteur aus China durchgeführt worden ist.“
Mitte Mai 2023 wurde das Vorgehen der Hacker beobachtet: Die Schwachstelle ermöglichte es Hackern, eine bösartige TAR-Archivdatei zu senden, die zu einer Befehlsinjektion in die Appliance führte. Die Sicherheits-Appliance, die den Anhang scannte, löste den Angriff aus. Mandiant, das von Barracuda zur Untersuchung hinzugezogen worden war, brachte den Hack mit „hoher Wahrscheinlichkeit“ mit Peking in Verbindung und schrieb die Kampagne einem bisher unbekannten chinesischen Bedrohungsakteur zu, der kürzlich die Bezeichnung UNC4841 erhalten hat. Der Bedrohungsakteur hat nach dem ersten Patch, den Barracuda bereitgestellt hat, „andere und teils neuartige Malware auf eine kleine Untergruppe von Zielen mit hoher Priorität ausgespielt“, erläuterte Kevin Mandia, CEO von Mandiant.
Die Hacker reagierten demnach auf den Patch von Barracuda, indem sie die primäre Hintertür modifizierten, um die Erkennung zu umgehen. Die aktualisierte Hintertür mit dem Namen Submarine befindet sich „in einer SQL (Structured Query Language)-Datenbank auf der ESG-Appliance“, mahnt auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA). Mandiants CEO schließt sich an und warnt: „Dieser Akteur beweist weiterhin seine Raffinesse und Anpassungsfähigkeit durch umfassende Vorbereitung und maßgeschneiderte Werkzeuge, die es ihm ermöglichen, seine globalen Spionageoperationen auf den öffentlichen und privaten Sektor weltweit auszuweiten.“
