HackerangriffeMalwareCyberkriminalität

Chinesische Hacker greifen Telekomkonzerne mit neuer Malware an

Von CyberDeutsch Redaktion
Chinesische Hacker greifen Telekomkonzerne mit neuer Malware an
Zusammenfassung

Eine chinesische Cyber-Spionagekampagne bedroht derzeit Telekommunikationsanbieter weltweit mit neu entdeckter Malware. Die Hackergruppe Calypso, auch als Red Lamassu bekannt, setzt dabei zwei spezialisierte Schadprogramme ein: das Linux-Malware "Showboat" und die Windows-Variante "JFMBackdoor". Seit mindestens Mitte 2022 attackiert die Gruppe systematisch Telekommunikationsunternehmen in Asien-Pazifik und dem Nahen Osten. Besonders tückisch ist die modulare Architektur dieser Malware, die lange Persistenz auf kompromittierten Systemen ermöglicht und als Sprungbrett für laterale Bewegungen im Netzwerk fungiert. Für Deutschland sind diese Entwicklungen von erheblicher Bedeutung, da deutsche Telekommunikationsanbieter potenzielle Ziele solcher staatlich unterstützten Hackergruppen darstellen. Die Infrastruktur kritischer Telekommunikationsnetze ist nicht nur für Millionen von Bürgern, sondern auch für die nationale Sicherheit und Wirtschaft essentiell. Unternehmen und Behörden müssen ihre Abwehrmechanismen verstärken und insbesondere Linux-Systeme einer kritischen Sicherheitsüberprüfung unterziehen, um dieser zunehmenden Bedrohung durch staatlich finanzierte chinesische Hackergruppen wirksam zu begegnen.

Die Malware-Varianten offenbaren unterschiedliche Angriffsstrategien für verschiedene Betriebssysteme. Showboat agiert als modularer Post-Exploitation-Framework und ist speziell für langfristige Persistenz nach einem initialen Kompromiss ausgelegt. Nach erfolgreicher Bereitstellung auf einem Zielsystem sammelt die Linux-Malware Informationen über den Host und sendet diese an einen Command-and-Control-Server (C2). Das Schadprogramm kann Dateien hochladen und herunterladen, Prozesse verbergen und Persistenzmechanismen durch neue Dienste etablieren.

Besonders bemerkenswert ist die sogenannte “Hide”-Funktion, die Prozessen ermöglicht, sich auf dem Host-System zu verschleieren. Dazu wird Code von externen Webseiten wie Pastebin oder Online-Foren abgerufen und als “Dead Drop” genutzt. Die kritischste Funktion besteht jedoch darin, dass Showboat als SOCKS5-Proxy und Port-Forwarding-Pivot-Punkt fungiert und damit als Sprungpunkt auf kompromittierten Endpunkten dient, um seitlich in das interne Netzwerk einzudringen.

Auf Windows-Systemen verfolgt Red Lamassu eine mehrstufige Infektionskette, die mit der Ausführung eines Batch-Scripts beginnt. Dieses lädt Payloads für eine DLL-Sideloading-Prozedur ein (fltMC.exe + FLTLIB.dll), woraufhin die finale Payload JFMBackdoor aktiviert wird. Diese Windows-Spionage-Implantate bieten umfangreiche Funktionalitäten zur Datenexfiltration.

Analysen der Infrastruktur deuten auf ein partiell dezentralisiertes Operationsmodell hin: Mehrere Cluster teilen ähnliche Zertifikat-Generierungsmuster und Werkzeuge, zielen jedoch auf unterschiedliche Opfergruppen ab. Lumen vermutet, dass das Toolset über mehrere China-nahe Bedrohungsgruppen verteilt wird, die verschiedene Regionen attackieren und ein gemeinsames Malware-Ökosystem nutzen.

Für deutsche Betreiber kritischer Infrastrukturen und Telekomkonzerne empfiehlt sich eine Überprüfung auf verdächtige Serviceinstallationen, ungewöhnliche Netzwerkverbindungen und Domain-Irregularitäten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte informiert werden, falls Kompromittierungen festgestellt werden.

Ähnliche Artikel