Google sagt, dass chinesische Hacker sich als McAfee-Software ausgeben haben
Dieselben Hacker der chinesischen Regierung, die Anfang des Jahres die Kampagnen der beiden Präsidentschaftskandidaten für das Jahr 2020 ins Visier genommen haben, haben versucht, Benutzer zur Installation von Malware zu verleiten, indem sie sich als der Antiviren-Anbieter McAfee ausgaben und ansonsten legitime Online-Dienste wie GitHub und Dropbox nutzten.
Shane Huntley, der Leiter der Threat Analysis Group von Google, gab am Freitag in einem Firmenblogbeitrag neue Einzelheiten über die mutmaßlichen staatlich geförderten Cyberangreifer, bekannt als APT 31, und ihre neuesten Taktiken bekannt. Im Juni deckte Googles Sicherheitsteam hochkarätige Phishing-Betrügereien von APT 31 und iranischen staatlich geförderten Hackern auf, die die E-Mail-Konten von Mitarbeitern der Kampagne mit Präsident Donald Trump und dem Kandidaten der Demokraten Joe Biden kapern wollten. (Alle diese Phishing-Versuche schienen fehlgeschlagen zu sein, sagte Google damals).
Am Freitag sagte Huntley, dass eine der neuesten Hacking-Techniken von APT 31 darin bestand, Links per E-Mail zu versenden, die bösartigen Code herunterladen würden, der auf der Open-Source-Plattform GitHub gehostet wird. Die Malware sei mit der Computersprache Python erstellt worden und „würde es dem Angreifer ermöglichen, Dateien hoch- und herunterzuladen sowie beliebige Befehle auszuführen“, und zwar über die Cloud-Storage-Dienste von Dropbox, schrieb er.
„Jeder bösartige Teil dieses Angriffs wurde auf legitimen Diensten gehostet, was es für die Verteidiger schwieriger macht, sich bei der Erkennung auf Netzwerksignale zu verlassen“, sagte Huntley.
Bei einem anderen Phishing-Betrug gab sich die Gruppe als McAfee aus, ein legitimer und beliebter Anbieter von Antiviren-Software, als Fassade aus, um den bösartigen Code leise auf den Rechner des Ziels einzuschleusen.
„Die Zielpersonen würden aufgefordert werden, eine legitime Version der Antiviren-Software von McAfee aus GitHub zu installieren, während gleichzeitig stillschweigend Malware auf dem System installiert würde.
Google gab nicht an, welche Organisationen oder Einzelpersonen bei diesen jüngsten von APT 31 gesponserten Angriffen ins Visier genommen wurden oder ob sie die politische Kampagne eines der beiden Kandidaten beeinträchtigten. Der Technikgigant gab lediglich an, dass er „im Zusammenhang mit den US-Wahlen den Bedrohungen durch APTs erhöhte Aufmerksamkeit geschenkt“ habe und teilte diese neuesten Erkenntnisse dem Federal Bureau of Investigation mit.
„US-Regierungsbehörden haben vor verschiedenen Akteuren der Bedrohung gewarnt, und wir haben eng mit diesen Behörden und anderen in der Technologiebranche zusammengearbeitet, um Hinweise und Informationen über das, was wir im gesamten Ökosystem sehen, auszutauschen“, sagte Huntley.
Er fügte hinzu, dass für den Fall, dass Googles Anti-Phishing-Sicherheitsvorkehrungen einen von der Regierung unterstützten Angriff erkennen, das Unternehmen dem beabsichtigten Opfer eine Warnung schickt, in der es erklärt, dass eine ausländische Regierung es möglicherweise ins Visier nimmt.
Google ist nicht der einzige Technikgigant, der im Vorfeld der Wahl eine Zunahme der Cyberangriffe beobachtet. Im September berichtete Microsoft, dass von der chinesischen, russischen und iranischen Regierung unterstützte Hacker in China, Russland und dem Iran ähnlich erfolglose Angriffe auf hochrangige Personen gestartet hatten, die mit der Trump- und der Biden-Kampagne in Verbindung stehen. In der vergangenen Woche veröffentlichten das FBI und die US-Behörde für Cybersicherheit und Infrastruktursicherheit auch Einzelheiten über Kampagnen ausländischer Hacker, die mit der Regierung in Verbindung stehen, um Netzwerke der Bundes-, Staats- und Kommunalbehörden auszunutzen.