Symbolbild: Fotolia

Hackergruppen mit Verbindungen zu China verstärken ihre internationalen Aktivitäten. Im Gegensatz zum ersten Halbjahr 2024 sind Gruppen aus dieser Region nun die Hauptquelle für Cyberangriffe (40 Prozent). Russische Hacker hingegen sind im gleichen Zeitraum vom ersten auf den zweiten Platz zurückgefallen (27,6 Prozent). Dies geht aus dem neuen APT Activity Report des IT-Sicherheitherstellers Eset für den Zeitraum April bis September 2024 hervor.

"Diese Entwicklungen unterstreichen die wachsende Bedrohung durch staatlich geförderte Cyberangriffe für Unternehmen und Organisationen weltweit", erklärt Jean-Ian Boutin, Director of Threat Research bei Eset. "Besonders besorgniserregend ist die Ausweitung der Angriffsziele auf kritische Infrastrukturen und sensible Bereiche wie Finanzen, Verteidigung und Diplomatie."

Die Kampagnen chinesischer oder China nahestehender Gruppen konzentrieren sich gemäss dem Eset-Report nach wie vor hauptsächlich auf staatliche Organisationen. Allerdings gerate auch der Bildungssektor immer mehr ins Fadenkreuz. Vor allem Forscher und Akademiker auf der koreanischen Halbinsel und in Südostasien würden Opfer von Cyberattacken. Afrika habe sich in den letzten zwei Jahrzehnten zu einem wichtigen geopolitischen Partner Chinas entwickelt. Die Forscher hätten allerdings beobachten können, wie mit China verbündete Gruppen ihre Angriffe auf diesem Kontinent ausweiteten. Die APT-Gruppe Mirrorface attackierte demnach auch eine diplomatische Organisation in der Europäischen Union.

Mit Russland in Verbindung stehende Hacker waren dem Report zufolge weiterhin in der Ukraine am aktivsten. Sie nahmen dort demnach Regierungsstellen, den Verteidigungssektor und kritische Bereiche wie Energie-, Wasser- und Wärmeversorgung ins Visier. Andere Gruppen zielten häufig auf Webmail-Dienste wie Roundcube und Zimbra ab, um Schwachstellen auszunutzen und durch gezielte Phishing-Angriffe an E-Mails zu gelangen.

Die Gruppe Sednit attackierte laut Eset weltweit Regierungs- und Forschungseinrichtungen, während Gamaredon und Sandworm ihre Angriffe auf die Ukraine fokussierten. Ausserdem identifizierte ESET eine Desinformationskampagne namens Operation Texonto, die vor allem darauf abzielt, ukrainische Bevölkerungsteile zu demoralisieren.

Nordkoreanische Hacker wiederum setzen weiterhin auf Cyberangriffe, um die Rüstungsprogramme des Landes durch Kryptowährungs- und klassischen Währungsdiebstahl zu finanzieren, heisst es im Report weiters. Europäische und US-amerikanische Unternehmen aus dem Verteidigungs- und Luftfahrtsektor sowie Kryptowährungsentwickler und Nichtregierungsorganisationen waren demzufolge Hauptziele. Neu sei der Missbrauch von Microsoft Management Console-Dateien durch die Kimsuky-Gruppe und die Ausnutzung von Cloud-Diensten wie Google Drive und Microsoft Onedrive gewesen. Und die Lazarus-Gruppe setze ihre Angriffe auf Finanz- und Technologieeinrichtungen weltweit fort.

Irannahe Cyberkriminelle haben ihre Aktivitäten ausgeweitet und ihre Fähigkeiten verstärkt für diplomatische Spionage und möglicherweise militärisch-strategische Zwecke eingesetzt, so der APT Activity Report. Ziele seien unter anderem Finanzunternehmen in Afrika gewesen. Auch diplomatische Vertretungen und Regierungsorganisationen aus dem Irak und Aserbaidschan standen demnach offenbar im Fokus, ebenso wie der israelische Transportsektor. Trotz der geografischen Konzentration bleibe das Interesse der vom Iran unterstützten Gruppen global. So seien auch diplomatische Vertreter in Frankreich und Bildungsorganisationen in den USA angegriffen.

Den vollständigen Eset APT Activity Report gibt es auf Welivesecurity.com: www.welivesecurity.com/de/eset-research/eset-apt-activity-report-q2-2024...

Grafik: Eset
Grafik: Eset