TGR-STA-1030 nimmt KRITIS-Infrastrukturen in den Fokus

Unter der Bezeichnung TGR-STA-1030 agiert eine Cyber-Spionagegruppe. Ihre Aktivitäten werden als „Shadow Campaigns“ bezeichnet. Die Angriffe erfolgten primär durch gezielte Phishing-Kampagnen mit Ködern zu angeblichen Ministeriums-Umstrukturierungen sowie durch Ausnutzung bekannter Schwachstellen. Zur Kompromittierung setzt die Gruppe spezialisierte Malware ein, darunter „Diaoyu Loader“ und den Linux-Kernel-Rootkit „ShadowGuard“.

Zu den wichtigsten Erkenntnissen des Unit-42-Team von Palo Alto Networks zur Cyber-Spionagegruppe TGR-STA-1030 gehören die Hauptziele der Angriffe: Die Gruppe zielt primär auf Regierungsministerien und -behörden ab, darunter fünf nationale Strafverfolgungs- und Grenzschutzbehörden, drei Finanzministerien sowie Behörden mit Zuständigkeiten für Wirtschaft, Handel, natürliche Ressourcen und diplomatische Angelegenheiten.

Daraus resultiert eine Bedrohung in Europa: Denn die Gruppe führte gezielte Aufklärungsaktivitäten gegen deutsche Regierungsinfrastruktur (über 490 IP-Adressen) sowie gegen EU-Infrastruktur (über 600 IP-Adressen) durch. Die Gruppe kompromittierte nachweislich Regierungsstellen in acht europäischen Ländern.

Dabei zeigt sich auch ein globaler Umfang: Etwa jedes fünfte Land weltweit war im vergangenen Jahr von kritischen Sicherheitsverletzungen durch diese Gruppe betroffen. Im vergangenen Jahr gab es bestätigte Kompromittierungen von Regierungs- und kritischen Infrastrukturorganisationen in 37 Ländern.

Unit 42 arbeitet mit Branchenpartnern und Regierungsbehörden zusammen, um betroffene Organisationen zu benachrichtigen und umfassende Abwehrmaßnahmen gegen diese Bedrohung zu implementieren. (rhh)

Hier gibt es weitere Informationen zum Report zu TGR-STA-1030