Beobachtungen
Die Sicherheitsforscher von Unit 42 identifizierten unter der Bezeichnung „Shadow Campaigns“ eine großangelegte Cyber-Spionageoperation, die sich gegen Regierungseinrichtungen und Kritische Infrastrukturen in weltweit 37 Staaten, darunter auch Deutschland, richtet. Die forensisch bis mindestens Januar 2024 zurückverfolgbaren und Ende 2025 signifikant intensivierten Aktivitäten zielen explizit auch auf europäische Regierungsstellen ab. Die Operation zeichnet sich durch eine hohe Skalierung und Ressourcenausstattung aus, wobei schätzungsweise 20 Prozent der weltweit angegriffenen Länder kompromittiert wurden, was auf eine langfristig angelegte Strategie zur geopolitischen Informationsgewinnung schließen lässt.
Methoden
Der initiale Zugriff erfolgt primär durch hochgradig personalisierte Spear-Phishing-Angriffe gegen ausgewählte Funktionsträger in sensiblen Positionen. Zur Obfuskation der Command-and-Control-Kommunikation und zur Umgehung signaturbasierter Detektionsmechanismen implementiert der Akteur komplexe Netzwerktechniken, insbesondere DNS-Tunneling sowie Domain-Generation-Algorithms (DGA). Kennzeichnend für diese Kampagne ist die Etablierung einer tiefgreifenden, langfristigen Persistenz (Long-Term Persistence) in den kompromittierten Netzwerken, um einen kontinuierlichen und unbemerkten Datenabfluss über Jahre hinweg zu gewährleisten.
Attribution
Die Aktivitäten werden dem Akteurscluster TGR-STA-1030 (auch bekannt unter der Bezeichnung UNC6619) zugerechnet. Basierend auf der strategischen Zielauswahl im Regierungssektor sowie der Komplexität der eingesetzten Infrastruktur wird der Akteur mit hoher Wahrscheinlichkeit als staatlich gesteuert oder staatlich unterstützt klassifiziert. Die Analyse der Tactics, Techniques and Procedures (TTPs) deutet auf einen Ursprung im asiatischen Raum hin, wobei signifikante Überschneidungen mit dem bekannten Vorgehen chinesischer APT-Gruppierungen bestehen.
Empfehlungen
Zur effektiven Mitigierung ist eine Härtung der DNS-Infrastruktur durch strikte Filterung und Anomalie-Erkennung zwingend erforderlich, um Tunneling-Versuche frühzeitig zu identifizieren. Web-Gateways sind hinsichtlich der Kommunikation mit neu registrierten Domains restriktiv zu konfigurieren und Logdaten retrospektiv auf die publizierten Indikatoren zu prüfen. Flankierend sind gezielte Sensibilisierungsmaßnahmen für exponierte Mitarbeitergruppen durchzuführen, um die Erfolgsquote der initialen Spear-Phishing-Versuche zu minimieren. Unit42 stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir raten daher allen Stellen, die ins Visier der Angreifer geraten sein könnten, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der IOCs.