In einem aktuellen Bericht beleuchtet FireEye die neue Zero-Day-Schwachstelle in Pulse-Secure-VPN-Geräten, mehrere Methoden zur Umgehung der Single- und Multi-Faktor-Authentifizierung sowie Malware, die auch bei Upgrades und der Zurücksetzung auf die Werkseinstellungen bestehen bleibt. Diese Methoden werden von mindestens zwei Gruppen eingesetzt, darunter UNC2630 (eine Gruppe mit mutmaßlichen Verbindungen zu APT5).
Mandiant hat zwölf Malware-Familien identifiziert, die sich speziell auf die in dieser Kampagne verwendeten Pulse-Secure-Geräte beziehen.
Charles Carmakal, SVP und CTO bei Mandiant, einer Einheit von FireEye, erläutert die Erkenntnisse:
„In den vergangenen Monaten hat Mandiant auf mehrere Angriffe reagiert, bei denen die VPN-Lösung von Pulse Secure ausgenutzt wurde. Im Laufe unserer Ermittlungen fanden wir heraus, dass mittels einer Zero-Day-Schwachstelle und anderen bekannten Schwachstellen in der VPN-Lösung Angriffe auf Dutzende von Organisationen wie Regierungsbehörden, Finanzunternehmen und Verteidigungsunternehmen in den Vereinigten Staaten und in Europa getätigt wurden.
Wir vermuten, dass sich diese Angriffe mit Chinas Ziel der Daten- und Informationssammlung decken. Diese Akteure sind hoch qualifiziert und verfügen über umfassende technische Kenntnisse zum Produkt Pulse Secure. Sie entwickelten Malware, die es ihnen ermöglichte, Active-Directory-Anmeldeinformationen zu sammeln und die Multi-Faktor-Authentifizierung auf Pulse-Secure-Geräten zu umgehen.
So konnten sie auf die Netzwerke der Opfer zugreifen. Sie modifizierten zudem Skripte auf dem Pulse-Secure-System, die es der Malware ermöglichten, Software-Updates und Zurücksetzungen auf die Werkseinstellungen zu überstehen. Durch diese Vorgehensweise konnten die Angreifer über mehrere Monate hinweg unentdeckt Zugang zu den Umgebungen der Opfer aufrechterhalten.
Ihre primären Ziele sind die Aufrechterhaltung des langfristigen Zugriffs auf Netzwerke, das Sammeln von Zugangsdaten und der Diebstahl vertraulicher Daten. Wir glauben, dass mehrere Cyberspionage-Gruppen diese Exploits und Tools verwenden. Zudem gibt es einige Ähnlichkeiten zwischen Elementen dieser Aktivitäten und einer chinesischen Hackergruppe, die wir APT5 nennen.
Die Ausnutzung dieses Produkts sollte nicht mit einem Angriff auf die Lieferkette verwechselt werden. Diese Angreifer nutzten sowohl bekannte Schwachstellen als auch die bisher unbekannte Schwachstelle CVE-2021-22893. Wir haben keine Hinweise darauf, dass es sich um eine Supply-Chain-Kompromittierung des Netzwerks oder der Software von Ivanti handelt.“