Chinesische Hacker verbergen sich zunehmend in alltäglichen IT-Prozessen von Ministerien, Behörden und staatlichen Dienstleistern, die längst auf Cloud-Dienste setzen. So wirkt ihre staatliche Spionagekampagne plötzlich wie normaler Netzwerkverkehr.
Analysten berichten, dass Angreifer legitime Windows-Dienste kapern und Steuerbefehle unauffällig über Google Drive einschleusen, sodass verdächtige Kommunikation wie harmlose Synchronisation von Dokumenten wirkt. Untersuchungen von Check Point Research beschreiben eine schwer erkennbare Angriffskette im Regierungsumfeld, bei der kompromittierte Systeme über Monate ausgeleitet werden und Sicherheitsverantwortliche gezwungen sind, vertraulichen Datenverkehr kritischer zu prüfen.
Silver Dragon im Fokus : Ziele in Südostasien und Hinweise auf Aktivitäten in Europa
Researcher von Check Point Research haben Mitte 2024 die Spionagekampagne Silver Dragon aufgedeckt, die sie einer chinesischen Gruppe mit Bezügen zu APT41 zuschreiben. Im Mittelpunkt stehen staatliche Netzwerke und kritische IT von Behörden in Südostasien, denen langfristig Informationen entzogen werden sollen.
Check Point beschreibt daneben vereinzelte Betroffene, was den strategischen Charakter der Operation unterstreicht. Zu den adressierten Opfer in Europa gehört laut Bericht Phishing in Usbekistan gegen Regierungsstellen, das auf eine sorgfältige geopolitische Zielauswahl hinweist und Reichweite der Kampagne auf internationaler Ebene demonstriert.
So gelingt der Einstieg : Server-Exploits und Phishing als doppelter Angriffsweg
Für den ersten Zugang setzt Silver Dragon laut Check Point auf eine Kombination technischer und sozialer Methoden. Technische Angriffe zielen auf die Ausnutzung öffentlicher Server, etwa schlecht gepatchte Web- oder Anwendungsserver, über die der Angreifer Code ausführen und sich im Netzwerk seitlich bewegen kann.
Parallel läuft eine ausgefeilte Kampagne, die auf Mitarbeitende von Ministerien und öffentlichen Einrichtungen zielt. Dabei setzt die Gruppe auf eine E-Mail-Phishing-Kampagne; gelingen Anmeldedaten-Diebstahl oder das Einschleusen von Malware, entsteht ein initialer Zugriff, der zur vollständig kompromittierten Infrastruktur ausgebaut wird.
Wenn Windows-Dienste zur Tarnkappe werden
Statt neue, leicht erkennbare Services zu installieren, kapert Silver Dragon vorhandene Systemkomponenten. Besonders perfide ist die Manipulation des Windows Update Dienst, der üblicherweise für Sicherheitsaktualisierungen verantwortlich ist, sowie des .NET-Deployment-Dienstes ClickOnce DfSvc, der zum Laden von Schadcode missbraucht wird und dadurch kaum Verdacht weckt.
Check Point beobachtete das Umleiten legitimer Prozesse und mehrerer Dienste zur Zeitzonensynchronisierung, wodurch unauffällige Einstiegspunkte entstehen. Insbesondere die COM+ Systemanwendung und eine gezielte tzsync Manipulation ermöglichen es, dass Malware unter vertrauten Dienstnamen läuft, forensische Analysen erschwert und Überwachungslösungen in großen Behörden- und Unternehmensnetzwerken täuscht innerhalb kritischer produktiver Umgebungen.
Silver Dragon steht für den aktuellen Trend im staatlichen Cyber-Spionagebereich: Angreifer kombinieren verschiedene Vektoren für den Erstzugang, verstecken sich in vertrauenswürdigen Windows-Diensten und nutzen weit verbreitete Plattformen wie Google Drive.
Sergey Shykevich, Head of Threat Intelligence Group bei Check Point Software
GearDoor und Google Drive : befehle per Cloud-Datei statt klassischem C2-Server
Herzstück der Operation ist die maßgeschneiderte Backdoor GearDoor, die von jedem kompromittierten System aus eine eigene Ordnerstruktur in Google Drive anlegt. Darüber erfolgt eine dateibasierte Befehlsübertragung, bei der Aufgaben und Antworten als scheinbar harmlose PNG- oder RAR-Dateien erscheinen und so klassische C2-Erkennungsmechanismen umgehen.
GearDoor nutzt Cloud-Speicher von Google, wobei die Kommunikation über stark verschlüsselte Strukturen erfolgt, die nur dem Angreifer zugänglich sind. So entsteht ein Google-Drive als C2-Kanal, bei dem verschlüsselte Aufgabenpakete als Dateien wirken und im SaaS-Traffic im Unternehmensnetz aufgehen, wodurch Überwachung Regierungsnetze ausgetrickst wird.
Nach der Kompromittierung : Screenshots, Cobalt Strike und leiser Langzeit-Zugriff
Nach erfolgreicher Kompromittierung schaltet Silver Dragon auf lautlose Langzeitbeobachtung um. Dazu gehört die Komponente für SilverScreen Screenshot-Überwachung, die nur bei visuellen Änderungen aktiv wird und so über lange Zeiträume Bildschirminhalte sammelt, ohne große Datenmengen oder auffällige Systemlast zu erzeugen.
Mehrere Angriffsketten enden in einer komplexen Nutzlast, die flexibel über HTTP oder mithilfe von speziellen Tunneling-Techniken mit den Steuerungsservern kommuniziert. Cobalt-Strike Beacon fungiert dabei als zentrales Implantat; über DNS-Tunneling und seitliche Bewegungen verschafft es den Angreifern einen schwer zu entfernenden persistenten Zugriff auf sensiblen Regierungs- und Verwaltungsumgebungen im internen Netz.
