Verfassungsschutz: "Hyperbro"-Angriffskampagne auf deutsche Unternehmen

Das Bundesamt für Verfassungsschutz warnt vor aktuellen Cyberangriffen auf Unternehmen. Es gibt zudem Hinweise zur Erkennung kompromittierter Systeme.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Aufmacherbild BfV warnt vor Cyberangriffen

(Bild: Sashkin/Shutterstock.com)

Von
  • Dirk Knop

Eine chinesische Cybergang soll es nach Erkenntnissen des Bundesamts für Verfassungsschutz (BfV) aktuell auf deutsche Unternehmen abgesehen haben. Eines der Ziele sei der Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum, warnt der Inlandsgeheimdienst in seinem "Cyberbrief 01/2022". Es sei jedoch nicht auszuschließen, dass die Angreifer versuchten, die Netzwerke auch von Kunden und Dienstleistern zu infiltrieren – ein Lieferketten- oder Supply-Chain-Angriff.

Das BfV hat den Angaben zufolge beobachtet, dass die als "APT27" bekannte Gruppe seit März 2021 Schwachstellen in Exchange sowie Zoho AdSelf Service Plus1 zum Eindringen in die Netze ausnutzt. Vor Angriffen über diese Lücken hatte im vergangenen Jahr bereits die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) gewarnt.

Das BfV schreibt in seinem Cyber-Brief, dass es gegenwärtig eine Zunahme von Angriffen gegen deutsche Ziele durch die Cybergang sehe. Dabei setzten die Einbrecher auf das Remote Access Tool (RAT) "Hyberbro", um sich im Netzwerk festzusetzen und es auszuforschen. Das BfV geht von "einer anhaltenden Angriffswelle" aus.

Mit dem Cyberbrief hat der Verfassungsschutz auch Hinweise veröffentlicht, wie man eine Infektion mit Hyberbro erkennen kann. Unter den Indizien, die auf eine Kompromittierung eines Systems deuten (Indicators of Compromise, IOC), listet das BfV etwa drei IP-Adressen, zu denen das RAT Kontakt sucht. Aber auch bestimmte Dateien, Pfade oder Prozesse können auf einen Befall hinweisen.

Administratoren und IT-Verantwortliche sollten nicht nur die Sicherheitsupdates zum Schließen der Schwachstellen installieren, durch die die Cybergangs in die Netze einbrechen können. Sie sollten zudem die eigenen Systeme auf die Indizien aus der Auflistung des Bundesamts für Verfassungsschutz prüfen und gegebenenfalls befallene Systeme isolieren und bereinigen.

Die Gruppierung APT27 sei seit 2010 aktiv, führt der Verfassungsschutz aus. APT27 ist laut der malpedia-Datenbank des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) auch unter dem Namen "Emissary Panda" und weiteren bekannt.

(dmk)