Die US-Regierung hat Informationen zu einer Malware-Variante veröffentlicht, die von durch die chinesische Regierung unterstützten Hackern in Cyber-Spionage-Kampagnen gegen Regierungen, Unternehmen und Think Tanks verwendet wird. Bei der neuen Malware handelt es sich um einen RAT (Remote Access Trojaner) namens Taidoor, der von Cyber-Angreifern der chinesischen Regierung aktiv genutzt wird. Dies geht aus Informationen hervor, die vom FBI, der Agentur für Cyber-Sicherheit und Infrastruktursicherheit (CISA) und dem US-Verteidigungsministerium veröffentlicht wurden.
„Remote-Access-Trojaner (RATs) sind eine heimtückische Kategorie von Angriffs-Tools, die Systeme, Daten und Privatsphäre gefährden. Angesichts so vieler legitimer Fernzugriffe, die über Netzwerke und Hosts erfolgen, gibt es für RATs reichlich Gelegenheit, über längere Zeit unentdeckt zu operieren, da sie sich im regulären Datenverkehr gut verstecken können“, erklärt Andreas Müller. Für den Director DACH bei Vectra AI sind sie ein besonders nützliches Instrument für Angreifer auf nationalstaatlicher Ebene, die eine ausgedehnte Auskundschaftung durchführen wollen und innerhalb der Angriffsziele Persistenz anstreben. Dies scheint mit Sicherheit der Fall zu sein, da die Aktivitäten seit 2008 mit China in Zusammenhang stehen.
Es sei zwar gut zu sehen, dass Regierungsbehörden vor RATs wie Taidoor warnen und Orientierungshilfen und Identifizierungs-Möglichkeiten bieten, so Müller weiter. „Die Wege und Dienste, die RATs nutzen, sind jedoch in vielen Unternehmen nach wie vor offen und schwer zu überwachen. Für die gängigsten RATs gibt es Signaturen, aber geschickte Angreifer können ihre eigenen RATs leicht anpassen oder erstellen, indem sie gängige Remote-Desktop-Tools wie RDP für den Fernzugriff verwenden.“
Dies wird durch einige kürzlich durchgeführten Live-Analysen von Unternehmensnetzwerken bestätigt, wonach 90 Prozent der untersuchten Unternehmen eine Form von bösartigem RDP-Verhalten aufwiesen. Diese Art der Verhaltenserkennung kann mit Modellen des maschinellen Lernens (ML) realisiert werden, die darauf ausgelegt sind, das einzigartige Verhalten der RATs zu identifizieren.
„Durch die Analyse einer großen Anzahl von RATs kann ein überwachtes ML-Modell lernen, wie sich der Datenverkehr dieser Tools vom normalen, legitimen Fernzugriffsverkehr unterscheidet“, erklärt Müller. „So lässt sich „RAT-artiges“ Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“ (rhh)