Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Kennen Sie Ihren Gegner: HC3 teilt Details chinesischer APT-Gruppen mit, die auf den Gesundheitssektor abzielen
Gepostet von Steve Alder am 24. August 2023
Die Gesundheitsbranche wird aktiv von finanziell motivierten Cyberkriminellenbanden angegriffen; Allerdings streben staatlich geförderte Hackergruppen auch nach Zugang zu Gesundheitsnetzwerken und nehmen Gesundheitsdienstleister und andere Einrichtungen im Gesundheitswesen und im öffentlichen Gesundheitswesen aktiv ins Visier.
In einem kürzlich veröffentlichten Sicherheitshinweis stellt das Health Sector Cybersecurity Coordination Center (HC3) ein Bedrohungsprofil einiger der fähigsten chinesischen Hackergruppen bereit, von denen bekannt ist, dass sie es auf US-amerikanische Gesundheitsorganisationen abgesehen haben. Während bekannt ist, dass mindestens eine staatlich geförderte chinesische Hackergruppe Cyberangriffe aus finanziellen Gründen durchführt, führen die meisten Gruppen Angriffe zu Spionagezwecken und zur Erlangung von geistigem Eigentum (IP) durch, das für die Regierung der Volksrepublik China von Interesse ist, beispielsweise im Zusammenhang mit geistigem Eigentum bis hin zur Medizintechnik und Medizin. Beispielsweise griffen chinesische Hacker während der Pandemie Pharmaunternehmen an und suchten nach Forschungsdaten zu COVID-19-Impfstoffen.
Eine der aktivsten Bedrohungsgruppen ist als APT41 bekannt (auch BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella und Double Dragon). Die Gruppe ist seit mindestens 2007 aktiv und nimmt bekanntermaßen US-amerikanische Gesundheitsorganisationen ins Visier, meist mit dem Ziel, geistiges Eigentum zu erlangen, um es an die chinesische Regierung weiterzugeben, die die Technologie einsetzt, um sie auf den Markt zu bringen. Die Gruppe engagiert sich auch in Spionage und digitaler Erpressung und führt bekanntermaßen finanziell motivierte Cyberangriffe durch, obwohl diese Operationen möglicherweise eher der persönlichen Bereicherung dienen als auf Wunsch der chinesischen Regierung. APT41 nutzt bekannte Schwachstellen aggressiv aus, oft bereits wenige Stunden nach der Veröffentlichung, wie es bei den Schwachstellen ProxyLogon und Log4J der Fall war. Sobald der erste Zugriff erlangt wurde, bewegt sich die Gruppe seitlich innerhalb der Netzwerke und richtet einen dauerhaften Zugriff ein, wobei sie oft über lange Zeiträume unentdeckt in den Netzwerken bleibt, während die Daten von Interesse herausgefiltert werden. Die Gruppe verfügt über ein umfangreiches Arsenal an Malware und nutzt bei ihren Angriffen bekannte Sicherheitstools, etwa eine angepasste Version von Cobalt Strike, Acunetix, Nmap, JexBoss und Sqlmap.
APT10 (auch bekannt als Menupass Team, Stone Panda, Red Apollo, Cicada, CVNX, HOGFISH und Cloud Hopper) engagiert sich in Cyberspionage- und Cyberkriegsaktivitäten und konzentriert sich auf Militär- und Geheimdienstdaten. Es ist bekannt, dass die Gruppe Zero-Day-Schwachstellen ausnutzt, um sich Zugang zu den Netzwerken der Zielpersonen zu verschaffen, und sie nutzt eine Vielzahl benutzerdefinierter und öffentlicher Tools, um ihre Ziele zu erreichen. APT10 führt äußerst zielgerichtete Angriffe durch, wobei der Erstzugriff häufig durch Spear-Phishing erfolgt. Es ist auch bekannt, dass die Gruppe Managed Service Provider (MSPs) ins Visier nimmt, um deren nachgelagerte Kunden anzugreifen. Die Gruppe greift oft auf „Living-of-the-Land“-Taktiken zurück und nutzt Werkzeuge, die bereits in der Umgebung der Opfer installiert sind.
Bitte geben Sie die korrekte E-Mail-Adresse ein
Ihre Privatsphäre wird respektiert
Datenschutzrichtlinie des HIPAA-Journals
APT18 (auch bekannt als Wekby, TA-428, TG-0416, Scandium und Dynamite Panda) ist eine wenig bekannte APT-Gruppe, die vermutlich eng mit dem chinesischen Militär zusammenarbeitet und oft Menschenrechtsgruppen, Regierungen und eine Reihe von Angriffen ins Visier nimmt Branchen, darunter Pharma- und Biotechnologieunternehmen. Es ist bekannt, dass die Gruppe ihre eigenen Zero-Day-Exploits entwickelt und die Exploits anderer an ihre betrieblichen Anforderungen anpasst. Dazu verwendet sie hochentwickelte Malware wie Gh0st RAT, HTTPBrowser, Pisloader und PoisonIvy. Es wird angenommen, dass APT18 hinter einem Angriff auf einen Gesundheitsdienstleister im Jahr 2014 steckt, bei dem die Daten von 4,5 Millionen Patienten gestohlen wurden. Es wird vermutet, dass die Gruppe die OpenSSL-Heartbleed-Schwachstelle ausgenutzt hat, um Zugriff auf das Netzwerk zu erhalten.
APT22 (auch bekannt als Barista, Group 46 und Suckfly) scheint sich darauf zu konzentrieren, politische Einheiten und den Gesundheitssektor anzugreifen, insbesondere biomedizinische und pharmazeutische Unternehmen. Es ist bekannt, dass die Gruppe anfällige öffentlich zugängliche Webserver in Opfernetzwerken identifiziert und Web-Shells hochlädt und komplexe Malware wie PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF und LOGJAM verwendet.
Neben der Beschreibung einiger Taktiken, Techniken und Verfahren, die von jeder Gruppe verwendet werden, hat HC3 Abhilfemaßnahmen vorgestellt, um die Sicherheit vor den am häufigsten verwendeten Infektionsvektoren zu verbessern.