Industriespionage und staatlich geförderte Cyberoperationen nahmen im Dezember 2024 erneut an Intensität zu. Besonders betroffen waren kritische Infrastrukturen, Forschungseinrichtungen und Unternehmen aus den Bereichen Energie, Verteidigung und Nukleartechnologie. Cyberakteure aus China, Russland und Nordkorea führten hochspezialisierte Angriffe durch, die oft schwer zu erkennen und abzuwehren waren.

1. APT-Gruppen und ihre Aktivitäten im Dezember:

Lazarus Group (Nordkorea):

Die nordkoreanische Hackergruppe Lazarus fokussierte sich im Dezember auf Unternehmen der Nuklearindustrie sowie Ingenieurfirmen in Europa und den USA. Ziel war es, technologische Informationen und Forschungsdaten zu erlangen.

• Beispiel: Ein Nukleartechnikunternehmen in Frankreich wurde Opfer eines Angriffs, bei dem Lazarus über eine Zero-Day-Schwachstelle in der firmeneigenen VPN-Lösung eindringen konnte. Dabei wurden über mehrere Wochen hinweg sensible Daten exfiltriert.
• Quelle: Lazarus Group Analysis (CISA)
• CVSS-Score der Schwachstelle: 8.7 (Hoch)

Empfohlene Maßnahmen:

• Kritische Systeme sollten isoliert betrieben werden, insbesondere in der Forschung und Produktion.
• Unternehmen sollten auf segmentierte Netzwerke und verschärfte Zugangskontrollen setzen.
• Sicherheitsupdates für alle Remote-Zugänge (VPN, RDP) müssen regelmäßig eingespielt werden.

BlueAlpha APT (Russland):

Die russische APT-Gruppe BlueAlpha operierte im Dezember gezielt gegen Cloud-Infrastrukturen und nutzte Cloudflare-Tunnel, um unerkannt in Unternehmensnetzwerke einzudringen. Dabei setzte die Gruppe auf "Living off the Land"-Techniken (LOTL), die legitime Tools missbrauchen, um nicht entdeckt zu werden.

• Beispiel: In einem dokumentierten Fall wurde ein europäischer Telekommunikationsanbieter kompromittiert, indem BlueAlpha den Cloudflare-Tunnel zur internen Navigation nutzte.
• Quelle: Cloudflare Tunnel Exploitation Report

Empfohlene Maßnahmen:

• Unternehmen sollten den Zugriff auf Cloud-Dienste durch strikte Zugriffsrichtlinien reglementieren.
• SIEM-Lösungen (Security Information and Event Management) müssen kontinuierlich angepasst werden, um Anomalien zu erkennen.
• Zero-Trust-Architekturen bieten zusätzlichen Schutz vor seitlichen Bewegungen im Netzwerk.

Gelsemium (China):

Die chinesische Hackergruppe Gelsemium war im Dezember durch gezielte Angriffe auf Linux-Systeme aktiv. Mit der neuen "WolfsBane"-Backdoor gelang es der Gruppe, Systeme langfristig zu infiltrieren und persistente Spionageaktivitäten durchzuführen.

• Beispiel: Ein weltweit operierendes Logistikunternehmen in Asien wurde infiltriert, wobei Gelsemium die WolfsBane-Malware in den Linux-Servern versteckte.
• Quelle: Gelsemium Report (Mandiant)

Empfohlene Maßnahmen:

• Linux-Server sollten regelmäßig auf bekannte Indicators of Compromise (IoCs) geprüft werden.
• Unternehmen sollten EDR-Lösungen für Linux integrieren und überwachen.

Zugriff auf kritische Server sollte durch strikte Rollen- und Rechtevergabe minimiert werden.

2. Angriffe auf kritische Infrastrukturen und Forschungseinrichtungen:

Angriffe auf Stromnetze und Wasserwerke:

Im Dezember wurden vermehrt Angriffe auf kritische Infrastrukturen, wie Wasserwerke und Stromnetze, gemeldet. Besonders gefährdet waren Anlagen in Europa und Nordamerika, die häufig veraltete Steuerungssysteme ohne ausreichende Sicherheitsmechanismen betreiben.

• Beispiel: In einem Wasserwerk in Deutschland wurde Malware entdeckt, die Steuerungseinheiten manipulierte und Druckventile öffnete. Die Folge war ein großflächiger Wasserausfall.
• Quelle: BSI Sicherheitsmeldung

Empfohlene Maßnahmen:

• Kritische Infrastrukturen sollten regelmäßige Sicherheitsüberprüfungen durch externe Dienstleister durchführen lassen.
• Netzwerke von OT-Systemen müssen strikt von IT-Netzwerken getrennt werden.
• Redundante Systeme und manuelle Überbrückungsmöglichkeiten sollten jederzeit verfügbar sein.

Forschungseinrichtungen im Visier:

Forschungseinrichtungen und Universitäten wurden im Dezember verstärkt zur Zielscheibe staatlicher Cyberakteure. Besonders betroffen waren Projekte im Bereich Biotechnologie, Raumfahrt und Verteidigung.

• Beispiel: Eine europäische Universität mit Schwerpunkt Biotechnologie verzeichnete Angriffe auf ihre Forschungsdatenbanken, bei denen es zu Datenabflüssen kam.
• Quelle: CERT-EU Bericht

Empfohlene Maßnahmen:

• Universitäten sollten ihre Forschungsnetzwerke stärker segmentieren und mit SIEM-Systemen überwachen.
• Multi-Faktor-Authentifizierung (MFA) ist für alle administrativen Konten obligatorisch.
• Zugang zu Forschungsdaten sollte streng reglementiert und nur befugtem Personal gestattet werden.

Fazit:

Die Angriffe im Dezember zeigen eine klare Eskalation der Industriespionage und Cyberoperationen durch staatlich unterstützte Gruppen. Unternehmen, Forschungseinrichtungen und kritische Infrastrukturen stehen verstärkt im Fadenkreuz.

Comp4U bietet spezialisierte Sicherheitslösungen zur Erkennung und Abwehr von APT-Gruppen, inklusive maßgeschneiderter Threat-Intelligence-Services und Managed Detection and Response (MDR).
Kontaktieren Sie uns für eine umfassende Sicherheitsbewertung:

Telefon: 06103 9707-500
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.