ZURÜCK ZU NACHRICHTEN
Eilmeldung

Google stoppt UNC2814: Chinesische Spionagekampagne trifft Telekommunikation und Behörden

2 Min. LesezeitQuelle: SecurityWeek

Googles Threat Analysis Group unterbricht eine langjährige Cyber-Spionageoperation von UNC2814 mit Verbindungen zu China. Betroffen: 42 Länder, kritische Infrastruktur und Regierungsstellen.

Google vereitelt große chinesische Cyber-Spionageoperation

Googles Threat Analysis Group (TAG) hat erfolgreich eine langjährige Cyber-Spionagekampagne unterbunden, die der Bedrohungsakteur UNC2814 mit mutmaßlichen Verbindungen zu China zugeschrieben wird. Die Gruppe ist seit mindestens 2017 aktiv und hat Telekommunikationsanbieter, Regierungsbehörden und kritische Infrastruktur in 42 Ländern ins Visier genommen.

Technische Details der Kampagne

Obwohl Google keine vollständigen Indicators of Compromise (IOCs) veröffentlicht hat, entspricht die Operation den bisher dokumentierten Taktiken chinesischer staatlich unterstützter Cyber-Spionage. UNC2814 soll folgende Methoden eingesetzt haben:

  • Spear-Phishing-E-Mails mit schädlichen Anhängen oder Links
  • Zero-Day-Exploits in weit verbreiteter Software
  • Lieferkettenangriffe (Supply Chain Attacks), um vertrauenswürdige Anbieter zu kompromittieren
  • Living-off-the-Land (LotL)-Techniken, um der Erkennung zu entgehen

Die Infrastruktur der Gruppe nutzte Bulletproof-Hosting-Anbieter und Fast-Flux-DNS-Techniken, um Persistenz zu wahren und Abschaltungen zu umgehen.

Auswirkungen und Zielbereich

Die Hauptziele der Kampagne scheinen Informationsbeschaffung und langfristige Überwachung zu sein, mit Fokus auf:

  • Telekommunikationsunternehmen (wahrscheinlich zur Abhörung von Anrufdaten oder Netzwerkkartierung)
  • Regierungsbehörden (diplomatische, verteidigungspolitische und wirtschaftliche Sektoren)
  • Kritische Infrastruktur (Energie, Verkehr und Finanzdienstleistungen)

Googles Gegenmaßnahmen umfassten das Sinkholing von Command-and-Control (C2)-Servern sowie die Zusammenarbeit mit Industriepartnern zur Neutralisierung der Bedrohung. Aufgrund der bisherigen Aktivitäten der Gruppe rechnen Sicherheitsexperten jedoch mit fortgesetzten Angriffen unter Verwendung verfeinerter Taktiken.

Empfehlungen für Organisationen

Sicherheitsteams, insbesondere in Hochrisikobereichen, sollten:

  • Phishing-Abwehr stärken (Multi-Faktor-Authentifizierung, E-Mail-Filterung und Schulungen)
  • Ungewöhnliche laterale Bewegungen oder Rechteausweitungen im Netzwerk überwachen
  • Bekannte Schwachstellen umgehend patchen, insbesondere Zero-Day-Exploits priorisieren
  • Netzwerksegmentierung einführen, um mögliche Sicherheitsverletzungen einzudämmen
  • Sicherheit der Lieferkette prüfen, um Kompromittierungen durch Dritte zu verhindern

Googles TAG beobachtet UNC2814 weiterhin und fordert Organisationen auf, verdächtige Aktivitäten im Zusammenhang mit diesem Bedrohungsakteur zu melden. Weitere technische Details könnten im Zuge der laufenden Untersuchungen veröffentlicht werden.

Teilen

TwitterLinkedIn