Die französische Behörde für Cybersicherheit, ANSSI, gab eine offizielle Warnung vor Cyberangriffen heraus. Demnach sollen die Angriffe Ingenieurbüros und Dienstleister betreffen. Die Warnung kommt im Zuge von Cyberspionage-Angriffe gegen die Unternehmen Airbus und Expleo. ANSSI erklärte in ihrer Warnung, dass
„Angreifer Unternehmensnetzwerke gefährden, um auf Daten und schließlich auf die Netzwerke ihrer Kunden zugreifen zu können.“
Samuel Hassine, der Leiter der Abteilung Cyber Threat Intelligence von ANSSI, sagte, dass der Bericht auf Informationen aus aktuellen Untersuchungen bekannter Angriffe aufbaut.
„Derzeit geht unsere Analyse von zwei Angriffswellen aus, die zeitlich voreinander getrennt sind. Es gibt keinen technischen Beweis für eine Verbindung zwischen ihnen. Die erste Welle nutzt hauptsächlich die PlugX-Malware. Die zweite Welle beruht auf legitimen Tools und dem Diebstahl von Zugangsdaten.“
Der ANSSI-Bericht benennt keine Opfer und schreibt die Angriffe auch keiner bestimmten Hackergruppe oder fremden Nation zu. Sie erwähnt jedoch den PlugX-Backdoor-Trojaner, der in den letzten zehn Jahren häufig von chinesisch unterstützten Hackergruppen eingesetzt wurde.
Die ANSSI Warnung passt ganz gut in den allgemeinen Trend des vergangenen Jahres. Immer wieder gab es Berichte darüber, dass chinesische Hacker viele Angriffe auf Cloud Service Provider und die europäische Industrie durchgeführt haben. Einige der mit China verbundenen Hacker wurden dabei sogar verhaftet. Unter den Opfern der sehr koordinierten chinesischen Operation Cloudhopper Angriffe befinden sich bekannte hochkarätige Firmen: Visma, HPE und IBM, Airbus Frankreich, Expleo und der Triebwerkshersteller Rolls-Royce. In einer zwölfmonatigen Kampagne wurden die größten deutschen Unternehmen wie ThyssenKrupp, BASF, Siemens, Henkel, Teamviewer, Valve und Bayer angegriffen.
ANSSI veröffentlichte einen weiteren Bericht, der im Grunde mit vorherigen Berichten bekannter Sicherheitsfirmen in aller Welt übereinstimmt. Darin wird über einen groß angelegten Phishing- und Passwortdiebstahl Angriff gegen Regierungsbehörden und Think Tanks berichtet. Es hieß darin:
„Fünf möglicherweise gezielt angegriffene diplomatische Instanzen sind Mitgliedsländer des Sicherheitsrates der Vereinten Nationen: China, Frankreich, Belgien, Peru, Südafrika.“
Die weiterhin stattfindenden Angriffe werden der Hackergruppe Kimsuky, auch Group 123 genannt zugerechnet. Sie haben Verbindungen zur nordkoreanischen Regierung.
Laut ANSSI machen diese beiden Meldungen den Anfang der regelmäßig geplanten Veröffentlichungen. Die Behörde hat dazu sogar eine spezielle Webseite eingerichtet. Jede Meldung soll technischen Details zu Angriffen liefern. Damit soll es französischen und ausländischen Unternehmen leichter gemacht werden, entsprechende Cyber-Abwehrmaßnahmen ergreifen zu können, um zukünftige Hackerangriffe zu verhindern. Die Franzosen folgen mit ihrer Offensive den amerikanischen und britischen Cyberbehörden. Diese hatten im letzten Jahr damit begonnen, vermehrt Informationen mit der Öffentlichkeit zu teilen über laufende Cyberspionage-Operationen.
Die französische Cybersicherheitsbehörde folgt einem Trend, der von US-amerikanischen und britischen Cybersicherheitsbehörden populär gemacht wurde. Sie begannen im vergangenen Jahr damit, mehr Informationen mit der Privatwirtschaft über aktuelle Cyberspionage-Operationen zu teilen. Sie haben auch interne Tools für die breite Öffentlichkeit freigegeben wie z. B. das Ghidra Malware Analysis Framework der NSA. Was das angeht, hat ANSSI allerdings viel mehr veröffentlicht. Letztes Jahr gab sie CLIP OS, ein sehr sicheres Linux-basiertes Betriebssystem, das intern von der französischen Regierung verwendet wird, für die breite Öffentlichkeit frei. Dann auch noch Tchap, einen end-to-end-verschlüsselten Instant Messaging-Client und zuletzt OpenCTI, eine Plattform für die Verarbeitung und den Austausch von Cyber-Bedrohungsinformationen.
Artikel von zdnet.com, 08.10.2019: France warns of cyberattacks against service providers and engineering offices
Artikel von ert.ssi.gouv.fr, 22.10.2019: Supply chain attacks: threats targeting service providers and design offices
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0
