Operation Lotusblüte – Palo Alto Networks deckt neue Cyberangriffe auf

lotus-blossom-infographic-1-638

Palo Alto Networks veröffentlicht heute Forschungsergebnisse, die eine Reihe von potenziell staatlich geförderten Cyberattacken gegen Regierungs- und Militärorganisationen in mehreren Ländern in Südostasien aufdecken. Die Angriffe wurden von Palo Alto Networks´ Bedrohungsanalyse-Team Unit 42 entdeckt und „Operation Lotus Blossom“ (Operation Lotusblüte) benannt. Die Angriffe werden als Versuch gewertet, Insider-Informationen über die Funktionsweise der Nationalstaaten in der gesamten Region zu gewinnen. Die Aktivitäten laufen bis dato bereits drei Jahre. Betroffen waren bislang Ziele in Hong Kong, Taiwan, Vietnam, den Philippinen und Indonesien.

Mehr als 50 separate Angriffe wurden als Teil der Operation Lotusblüte identifiziert. Bei allen kommt ein speziell angefertigter Trojaner, genannt „Elise“, zum Einsatz, um mittels sehr gezielter Spear-Phishing-E-Mails in den Systemen Fuß zu fassen. Unit 42 geht davon aus, dass die Elise-Malware speziell entwickelt wurde, um die besonderen Bedürfnisse dieser Operation zu erfüllen, aber auch in anderen Angriffen genutzt wird.

Die Angriffe – unter Verwendung von speziell angefertigten Werkzeugen, umfangreichen Ressourcen und über eine Dauer über mehrere Jahre – deuten auf ein gut finanziertes und organisiertes Team im Hintergrund. Unit 42 ist daher der Ansicht, dass die Motivation für die Anschläge Cyberspionage und der Akteur dahinter ein Nationalstaat mit starken Interessen an den regionalen Angelegenheiten Südostasiens ist.

„Die bei der Operation Lotusblüte verwendeten Backdoor-Trojaner und Schwachstellen-Exploits gehören nicht zur Spitzenkategorie nach heutigen Maßstäben, aber diese Art von Angriffen kann schädlich sein, wenn sie erfolgreich sind und die Angreifer können sich Zugriff auf sensible Daten verschaffen. Die Tatsache, dass ältere Sicherheitslücken immer noch ausgenutzt werden, zeigt uns, dass hier Nachholdbedarf in Sachen Sicherheit besteht. Solange Unternehmen nicht auf eine präventionsorientierte Denkweise umschwenken und Schritte unternehmen, um die Cyberhygiene zu verbessern, werden Angreifer weiterhin ältere Methoden verwenden, weil sie immer noch gut funktionieren“, erklärte Ryan Olson, Intelligence Director, Unit 42, Palo Alto Networks.

Das Unit 42 Team entdeckte die Lotus-Blossom-Kampagne mithilfe des vor Kurzem von Palo Alto Networks vorgestellten AutoFocus-Dienstes. Dieser ermöglicht es Sicherheitsexperten, Sicherheitsereignisse von über 6.000 Kunden des Abo-Diensts WildFire und aus anderen Quellen zu korrelieren und abzufragen. Diese Angriffe werden für alle Palo Alto Networks Threat Prevention- und WildFire-Abonnenten automatisch verhindert. Anderen Organisationen empfiehlt Palo Alto Networks, ihre Netzwerke auf Anzeichen von Eindringlingen zu überprüfen und ihre Sicherheitskontrollen mit relevanten Indikatoren zu ergänzen, die im vollständigen Bericht von Unit 42 detailliert aufgeführt sind.