Cybersicherheitsexperten haben eine bisher unbekannte Hackergruppe namens Tidrone identifiziert, die gezielte Angriffe auf Taiwans Militär- und Satellitenindustrie durchführt. Die mutmaßlich mit China in Verbindung stehende Gruppe konzentriert sich vorwiegend auf Hersteller von unbemannten Luftfahrzeugen (UAVs) und verfolgt offenbar Spionageziele in der militärischen Lieferkette.
Komplexe Angriffsmethoden und maßgeschneiderte Malware
Obwohl der initiale Angriffsvektor noch unklar ist, haben Forscher von Trend Micro die Vorgehensweise von Tidrone nach der ersten Kompromittierung analysiert. Die Angreifer setzen zwei speziell entwickelte Malware-Tools ein: CXCLNT und CLNTEND. Diese werden mithilfe von Remote-Desktop-Werkzeugen wie UltraVNC in den Systemen der Opfer installiert.
Der Angriff umfasst drei Hauptphasen:
- Erhöhung von Benutzerrechten durch Umgehung der User Account Control (UAC)
- Diebstahl von Anmeldedaten
- Deaktivierung von Antivirensoftware zur Umgehung von Sicherheitsmaßnahmen
Mögliche Supply-Chain-Attacke über ERP-Software
Eine auffällige Gemeinsamkeit vieler Opfer ist die Nutzung derselben, nicht näher benannten Enterprise Resource Planning (ERP) Software. Dies deutet auf eine potenzielle Supply-Chain-Attacke hin, bei der die Angreifer Schwachstellen in weit verbreiteter Unternehmenssoftware ausnutzen könnten.
Funktionsweise der eingesetzten Malware
Beide Malware-Varianten, CXCLNT und CLNTEND, werden durch DLL-Sideloading über Microsoft Word gestartet. Sie ermöglichen den Angreifern den Zugriff auf sensible Informationen:
- CXCLNT bietet grundlegende Funktionen zum Hoch- und Herunterladen von Dateien, Spurenverwischung und Informationssammlung über die Opfersysteme.
- CLNTEND, erstmals im April 2024 entdeckt, ist ein Remote Access Trojan (RAT) mit Unterstützung für verschiedene Netzwerkprotokolle zur Kommunikation.
Operation WordDrone: Parallele Untersuchungen bestätigen Bedrohung
Unabhängige Analysen des Cybersicherheitsunternehmens Acronis bestätigen die Erkenntnisse von Trend Micro. Unter dem Namen „Operation WordDrone“ beobachteten die Forscher Angriffe zwischen April und Juli 2024. Sie identifizierten den Einsatz der sogenannten Blindside-Technik zur Umgehung von Erkennungsmechanismen vor der Einschleusung von CLNTEND.
Die gezielte Ausrichtung auf Taiwans Drohnenindustrie und den Luft- und Raumfahrtsektor ist von strategischer Bedeutung. Taiwan, als wichtiger Verbündeter der USA und mit seiner starken technologischen Basis, stellt ein attraktives Ziel für militärische Spionage und Supply-Chain-Angriffe dar. Die Bedrohung durch Tidrone unterstreicht die Notwendigkeit erhöhter Wachsamkeit und verbesserter Cybersicherheitsmaßnahmen in kritischen Industriesektoren, insbesondere in geopolitisch sensiblen Regionen.