Japanische Firmen in 17 Ländern von Cyberattacke betroffen

Die Firmen stammen aus unterschiedlichen Branchen, einige aus der Automobilindustrie. Hinter dem Angriff soll laut Symantec die Hackergruppe Cicada stecken.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: antb/Shutterstock.com)

Von
  • Christoph Böttcher

Ein Cyberangriff auf japanische Unternehmen und deren Töchter lief nahezu ein Jahr lang, von Mitte Oktober 2019 bis Anfang Oktober 2020. Die großangelegte Operation soll vornehmlich zu Spionagezwecken gedient haben und zielte auf Firmen in 17 verschiedenen Ländern.

Das "Threat Hunter Team" von Symantec hat die Attacke bei einigen Kunden entdeckt und führt sie auf die Hackergruppe Cicada zurück, auch bekannt als APT10, Stone Panda und Cloud Hopper. Die Gruppe soll seit 2009 aktiv sein. Die US-Regierung hat APT10 mit der chinesischen Regierung in Verbindung gebracht, weshalb Symantec auch in diesem Fall davon ausgeht, dass es eine Verbindung nach Peking gibt.

Cicada sei dafür bekannt, primär japanische Firmen anzugreifen. Eine direkte Verbindung zwischen den Opfern sieht Symantec nicht, die Gemeinsamkeiten belaufen sich auf die Art des Angriffs und die verwendeten Techniken. Die Hacker nutzten beispielsweise die ZeroLogon-Sicherheitslücke aus, die erst im August 2020 geschlossen wurde. Ansonsten griffen sie vor allem auf DLL-Sideloading zurück, um Schadsoftware auf die Systeme zu spielen. Zuletzt bauten sie mit "QuasarRAT" eine Open-Source-Hintertür ein, die Cicada bereits in der Vergangenheit nutzte. Auch Methoden zur Obfuskierung der Aktivitäten entsprächen den bekannten Vorgehensweisen von Cicada.

Die Unternehmen sind vorrangig im Automobilsektor tätig, sowohl in der Produktion als auch als Zulieferer. Aber auch Firmen aus der Elektronik-, Kleidungs- und Pharmaziebranche seien betroffen. Symantec hebt hervor, dass auch "Managed Service Provider" unter den Opfern waren. Durch deren Netzwerke konnten die Angreifer auf weitere Systeme von Kunden zugreifen. Die Zeit, welche die Eindringlinge in den jeweiligen Systemen verbrachten, variierte stark: Während manche Unternehmen über einen langen Zeitraum ausgespäht wurden, waren andere nur kurz oder sporadisch im Visier der Angreifer.

Die betroffenen Firmen sitzen in den USA, Mexiko, Großbritannien, Frankreich, Belgien, Deutschland, den Vereinigten Arabischen Emiraten, Indien, China, Hong Kong, Thailand, Singapur, Vietnam, den Philippinen, Taiwan, Südkorea und Japan. Weitere Angaben zu den Unternehmen macht Symantec nicht. (cbo)