Sicher & Anonym, Verschlüsselung & Datensicherheit

COVID-19-bezogene Spionage

Vietnamesische Hackergruppe APT32 zielt auf Regierung von Wuhan und das chinesische Ministerium für Notfallmanagement ab

Von Januar bis April 2020 führte der mutmaßliche vietnamesische Akteur APT32 Infiltrationskampagnen gegen chinesische Ziele durch. Nach Einschätzung von Mandiant Threat Intelligence sollten damit Informationen über die COVID-19-Krise gesammelt werden. 

Die Gruppe versendete Spearphishing-Nachrichten an das chinesische Ministerium für Notfallmanagement sowie an die Regierung der Provinz Wuhan, wo COVID-19 erstmals identifiziert wurde. Die gezielte Ausrichtung auf Ostasien passt zu üblichen Aktivitäten von APT32. Doch die aktuelle Kampagne und weitere öffentlich gemeldete Angriffe sind Teil von Cyber-Spionage-Aktivitäten im Zusammenhang mit der COVID-19-Krise, die weltweit zunehmen. Sie werden von Staaten betrieben, die verzweifelt nach Lösungen und nicht öffentlichen Informationen suchen.

Phishing-E-Mails mit Tracking-Links nehmen chinesische Regierung ins Visier

Der erste bekannte Vorfall dieser Kampagne fand am 6. Januar 2020 statt, als APT32 eine E-Mail mit einem eingebetteten Tracking-Link an das chinesische Ministerium für Notfallmanagement mit der Absenderadresse lijianxiang1870@163.com und dem Betreff „Bericht über die Ergebnisse der Ausschreibungen für Bürogeräte im ersten Quartal“ schickte. Der eingebettete Link enthielt die E-Mail-Adresse des Opfers sowie Code, der den Akteuren Rückmeldung gab, sobald die E-Mail geöffnet wurde.

Mandiant Threat Intelligence deckte weitere Tracking-URLs auf, die Ziele in der chinesischen Regierung in Wuhan sowie ein E-Mail-Konto enthalten, das mit dem Ministerium für Notfallmanagement in Verbindung steht.

  • libjs.inquirerjs.com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs.com/script/@chinasafety.gov.cn.png
  • m.topiccore.com/script/@chinasafety.gov.cn.png
  • m.topiccore.com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs.com/script/@126.com.png

Die Domäne libjss.inquirerjs.com wurde im Dezember als Command & Control (C&C)-Domäne für eine METALJACK-Phishing-Kampagne verwendet, die vermutlich auf südostasiatische Länder abzielte.

Ausblick

Die COVID-19-Krise stellt für Regierungen ein großes, existenzielles Problem dar. Die gegenwärtige Atmosphäre des Misstrauens vergrößert die Verunsicherung und führt dazu, dass Informationen gesammelt werden in einem Ausmaß, das mit bewaffneten Konflikten vergleichbar ist. Staats- und Landesregierungen, kommunale Verwaltungen, NGOs und internationale Organisationen stehen unter Beschuss. Auch die medizinische Forschung ist ins Visier geraten, wie ein stellvertretender Direktor des FBI öffentlich erklärte. 

 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben