Sicherheitsforscher von Sekoia haben eine ausgeklügelte Cyber-Spionagekampagne aufgedeckt, bei der die Hackergruppe ViciousTrap mehr als 5300 Netzwerkgeräte in 84 Ländern kompromittiert hat. Die Angreifer nutzen die gekaperten Geräte als Honeypots, um Informationen über neue Angriffsmethoden und Zero-Day-Schwachstellen zu sammeln.
Kritische Cisco-Schwachstelle als Einfallstor
Im Zentrum der Angriffe steht die kritische Sicherheitslücke CVE-2023-20118, die verschiedene Cisco Small Business Router betrifft. Besonders gefährdet sind die Modellreihen RV016, RV042, RV042G, RV082, RV320 und RV325. Die größte Konzentration kompromittierter Geräte wurde in Makao festgestellt, wo etwa 850 betroffene Router identifiziert wurden.
Sophisticated Malware-Infrastruktur
Nach erfolgreicher Ausnutzung der Schwachstelle installieren die Angreifer die Malware NetGhost, die gezielt den Netzwerkverkehr auf bestimmten Ports umleitet. Die Analyse zeigt deutliche Verbindungen zum bereits bekannten PolarEdge-Botnetz, das ähnliche Angriffsmuster aufweist. Die technische Infrastruktur nutzt Server des malaysischen Hosting-Providers Shinjiru (AS45839).
Breites Spektrum betroffener Hersteller
Die Kampagne zielt auf Netzwerkgeräte von mehr als 50 Herstellern ab, darunter Araknis Networks, Asus, D-Link, Linksys und Qnap. Im Visier stehen nicht nur Router, sondern auch SSL-VPN-Gateways, Videorecorder und BMC-Controller. Diese breite Ausrichtung ermöglicht den Angreifern eine umfassende Überwachung verschiedener Netzwerksegmente.
Verbindungen zu chinesischen APT-Gruppen
Die technische Analyse offenbart Überschneidungen mit der bekannten Malware GobRAT sowie die Nutzung von Servern in Taiwan und den USA. Diese Indikatoren deuten auf einen möglichen chinesischen Ursprung der Kampagne hin. Die verwendete Infrastruktur zeigt charakteristische Merkmale staatlich gesponserter APT-Gruppen.
Diese hochentwickelte Spionagekampagne stellt eine ernsthafte Bedrohung für die globale Cybersicherheit dar. Durch die Schaffung eines weitverzweigten Honeypot-Netzwerks können die Angreifer frühzeitig neue Angriffstechniken erkennen und Zero-Day-Exploits abgreifen. Unternehmen und Organisationen sollten dringend ihre Netzwerkgeräte auf die genannten Schwachstellen prüfen und entsprechende Sicherheitsupdates einspielen. Regelmäßige Sicherheitsaudits und die Implementierung einer mehrstufigen Verteidigungsstrategie sind essentiell, um sich vor solchen ausgefeilten Angriffen zu schützen.