Anfang dieses Jahres begann die berüchtigte APT-Gruppe LuckyMouse (auch bekannt als Emissary Panda oder APT27) mehrere Zero-Day-Sicherheitslücken in Microsoft Exchange Server auszunutzen. Ihr Ziel war Cyberspionage in mehreren Regierungsnetzwerken im Nahen Osten und in größeren Organisationen in Zentralasien. Die Gruppe nutzte diese Zugriffsmöglichkeit auf E-Mail-Server und die Kompromittierung von Microsoft SharePoint, um ein frisch aktualisiertes, modulares Toolkit namens SysUpdate einzuschleusen. Wie ESET in einem neuen Bericht beschreibt, wurde es dafür konzipiert bei Bedarf schädliche Funktionen bereitzustellen und gleichzeitig der Analyse soweit es geht zu widerstehen.

Falls Sie noch am Ausmaß der aktuellen Cyber-Bedrohungslage für Regierungen in aller Welt gezweifelt haben, dieses Beispiel verdeutlicht sie eindrücklich. Glücklicherweise stehen Regierungen der Gefahr nicht allein gegenüber. Cybersicherheitsunternehmen sind in der einzigartigen Lage, dem öffentlichen Sektor beratend zur Seite zu stehen. ESET verfügt nicht nur über die erforderlichen technischen Fähigkeiten zur Unterstützung der Cyber-Verteidigung, sondern kann als langjähriges Ziel anspruchsvoller Bedrohungsakteure auch aus erster Hand über Erkenntnisse berichten, was funktioniert und was nicht.

Ein Jahr wie man es noch nicht gesehen hat

Die LuckyMouse-Kampagne, die von ESET als „EmissarySoldier“ bezeichnet wird, war einen Großteil des Jahres 2020 und bis ins Jahr 2021 aktiv. Sie ist nur die Spitze des Eisbergs. Sowohl was die Angriffe auf Regierungen betrifft, als auch was die allgemeine Cyberbedrohungslage angeht, war das vergangene Jahr, vor allem auch wegen der Corona-Pandemie ein Novum. Die Ereignisse und Angriffe im Bereich der Cybersicherheit hatten unglücklicherweise große Auswirkungen auf die Verbraucher, auf kritische Infrastrukturen und die Gesellschaft an sich gehabt, zu deren Schutz Regierungen verpflichtet sind. Diese sollten sich auch darüber im Klaren sein: In den kommenden Jahren könnten die Auswirkungen und Bedrohungen durchaus noch größer werden.

Mit der Pandemie ging gezwungenermaßen eine neue weltweite Welle der Digitalisierung einher. Investitionen in Cloud-Infrastrukturen und -Anwendungen, in Laptops und Geräte für die Fernarbeit waren unerlässlich für die Unterstützung von Staatsdienern im Homeoffice oder für die Arbeit von Gesundheitsämtern. In Deutschland trat 2020 der immanente Digitalisierungsbedarf im Gesundheitswesen nochmal deutlicher hervor und Projekte wie die Corona-Warn-App zeigten, dass man dabei mit einigen Umsetzungsschwierigkeiten zu kämpfen hat.

Mit dem Ausbau der digitalen Infrastruktur geht für Regierungen und Behörden, genauso wie für Unternehmen, eine Erhöhung der Angriffsfläche für Cyberattacken einher. Diese wurde von opportunistischen Bedrohungsakteuren unerbittlich ins Visier genommen. Abgelenkte Heimarbeiter wurden mit Phishing-E-Mails bombardiert, die den unstillbaren Hunger nach den neuesten Covid-19-Nachrichten ausnutzten. Die Remote-Arbeitsinfrastruktur wurde auf Schwachstellen hin durchleuchtet und mit gestohlenen, gefälschten oder geknackten Remote-Anmeldeinformationen angegriffen. Und die dafür zuständigen Sicherheitsteams hatten im Homeoffice mit ihren eigenen organisatorischen Herausforderungen zu kämpfen.

Von der Cyberkriminalität zur Cyberspionage

Cyberbedrohungen für Regierungsbehörden gehen immer häufiger von kooperierenden kriminellen Gruppen aus. Betrachten Sie nur die enge Zusammenarbeit zwischen Trickbot (dessen Betrieb in einer globalen Operation unter Beteiligung von ESET gestört wurde), Emotet (dessen Botnetz erst kürzlich zerschlagen wurde) und hoch entwickelten Ransomware-Gruppen wie Ryuk, die den Zugriff auf die Botnetze dafür nutzten ihre Opfer zu attackieren. Leider sind Regierungen und die Sicherheitsbranche nicht immer dazu bereit bei der Cybersicherheit genauso zusammenzuarbeiten.

Die zweite Hauptquelle für Cyberbedrohungen sind nationalstaatliche Akteure - auch wenn die Grenze zwischen ihnen und traditionellen, finanziell motivierten Cyberkriminellen weiterhin verschwommen ist. Feindlichen Nationen haben jedenfalls die einmalige Gelegenheit erkannt und ihr Bestes getan, um von anderweitig beschäftigten behördlichen IT-Teams zu profitieren. Vor allem mit der Absicht Informationen zu COVID-19-Impfstoffen von rivalisierenden Staaten zu stehlen.

Die schlechte Nachricht für westliche Regierungen lautet, dass solche Angriffe von Gruppen wie Gamaredon, Turla, Sandworm (und ihre, von ESET beobachtete Untergruppe TeleBots) und XDSpy weiterhin erfolgreich sind. Neben der Verwendung von gewöhnlicher Malware aus dem Arsenal der Internetkriminellen, forschen und arbeiten diese Gruppen selbst an eigenen Angriffswerkzeugen, wie beispielsweise Crutch, einer zuvor undokumentierten Turla-Hintertür, die von ESET entdeckt wurde.

Immer raffinierter: Supply-Chain-Angriffe

Zu den vielleicht beunruhigendsten Entwicklungen der letzten Monate gehörten die Enthüllungen über die SolarWinds-Kampagne. Dies ist jedoch nur einer von mehreren Supply-Chain-Angriffen, die wir im letzten Jahr festgestellt haben. Andere gingen von der Lazarus Gruppe aus, die gehackte Sicherheits-Add-Ons bereitstellte, zielten, wie die Operation Stealthy Trident, auf regionale Chat-Software ab, oder kompromittierten eine staatliche Zertifizierungsstelle, wie die Operation SignSight.

Tatsächlich hat ESET im vierten Quartal 2020 so viele Supply-Chain-Kampagnen entdeckt, wie die gesamte Sicherheitsbranche in der Vergangenheit jährlich aufgedeckt hat. Die Bedrohung durch solche Angriffsvektoren hat zugenommen, da Regierungen verstärkt digitale Dienste nutzen, anbieten und Prozesse rationalisieren. Sie müssen diesen Moment allerdings dafür nutzen, um mit einer verbesserten Cybersicherheitsstrategie, die für die Welt nach der Pandemie geeignet ist, zurückzuschlagen.

Die Zukunft beginnt hier

Die Frage ist, wo man beginnen soll. Aufgrund unserer eigenen Erfahrungen als Ziel von Bedrohungsakteuren haben wir gelernt, wie wichtig grundlegende Sicherheitsmaßnahmen für die Absicherung von Organisationen sind. Heutzutage sollte es zuerst darum gehen, zu verstehen, wo sich die wichtigsten eigenen Ressourcen befinden. Sei es der Laptop für das Homeoffice oder ein Cloud-Server – es geht darum sicherzustellen, dass sie jederzeit geschützt und korrekt konfiguriert sind. Schnelles Patchen, regelmäßige Backups, Endpoint-Schutz und "Zero Trust"-Zugänge für alle Heimarbeiter sollten dazugehören. Immerhin ist die Belegschaft Ihre exponierteste Front im Krieg gegen die Cyberkriminalität.

Befolgen Sie außerdem internationale Standards wie ISO 27001, um Best Practices für das Informationssicherheitsmanagement einzuführen. Dies ist ein guter Ausgangspunkt, um die wichtigsten Anforderungen bezüglich der Einhaltung gesetzlicher Vorschriften zu erfüllen. Falls Sie sich sorgen, wie sich so viele Sicherheitsaktivitäten in der sich ständig verändernden Sicherheitslandschaft priorisieren lassen, dann können Sie Risikomanagement und -messung als Leitfaden nehmen. Ein weiterer wichtiger Schritt ist es, der Sicherheit in der eigenen Software-Entwicklungs-Lebenszyklus (SDLC) eine höhere Bedeutung beizumessen. So können Sie die die digitale Transformation beschleunigen, ohne das Cyber-Risiko zu erhöhen.

Das vergangene Jahr hat in vielerlei Hinsicht die Augen geöffnet. Für IT-Teams in Regierungsbehörden gibt es jedoch kein Zurück. Fernarbeit, eine stärkere Nutzung der Cloud und der digitalen Infrastruktur sind die neue Realität. Ebenso wie ausgefeilte kriminelle und von staatlichen Akteuren durchgeführte Angriffe. Es ist an der Zeit, einen Weg durch diese Finsternis zu finden und dabei bewährte Sicherheitstechniken, Produkte und aktuelle Forschungsergebnisse zu nutzen, um den Angreifern immer einen Schritt voraus zu sein.