Die als „UNC3886“ bekannte Gruppe gilt als hochprofessionell und wird dem chinesischen Staat zugerechnet. Bereits seit Jahren ist sie aktiv, wobei ihre Angriffe oft lange unentdeckt bleiben. Dieser Fall zeigt erneut, wie verwundbar auch weitverbreitete Softwarelösungen sein können, wenn sie nicht auf dem neuesten Stand gehalten werden.
So verschaffen sich chinesische Hacker Zugang zu VMware-Systemen
Die Angreifer konzentrieren sich auf Schwachstellen in verschiedenen VMware-Produkten, darunter vCenter Server, ESXi und Tools. Diese Komponenten sind zentral für die Verwaltung von virtuellen Maschinen, also Software-basierten Computern, die auf physischer Hardware laufen. Dadurch erlangen die Hacker weitreichende Kontrolle über die gesamte IT-Infrastruktur ihrer Opfer.
Einmal eingedrungen, installieren die Cyberkriminellen Schadsoftware, sogenannte Backdoors. Diese ermöglichen ihnen einen dauerhaften und unbemerkten Zugriff auf die kompromittierten Systeme. Anschließend können sie Daten ausspionieren, weitere Systeme im Netzwerk infizieren oder die gesamte IT lahmlegen.
Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben detaillierte technische Analysen zu den Angriffsmethoden veröffentlicht. Administratoren können diese nutzen, um ihre eigenen Netzwerke auf Spuren eines Angriffs zu untersuchen und Sicherheitslücken gezielt zu schließen.
Warum die Angriffe eine ernste Bedrohung darstellen
Der Angriff auf VMware-Systeme ist besonders gefährlich, da diese Software in sehr vielen Unternehmen und Behörden das Rückgrat der IT bildet. Gelingt es Angreifern, die zentrale Verwaltungseinheit vCenter zu übernehmen, haben sie praktisch den Schlüssel zum gesamten Rechenzentrum in der Hand. Dies ermöglicht weitreichende Spionage oder Sabotage.
Die eingesetzte Schadsoftware ist zudem äußerst raffiniert und schwer zu entdecken. Sie tarnt sich geschickt und hinterlässt kaum Spuren, wodurch die Kompromittierung oft erst sehr spät bemerkt wird. Für die betroffenen Organisationen bedeutet dies ein hohes Risiko für den Verlust von sensiblen Geschäfts- oder Kundendaten.
Notwendige Schutzmaßnahmen und Empfehlungen
Die wichtigste Maßnahme zum Schutz vor den Angriffen ist das sofortige Einspielen aller verfügbaren Sicherheitsupdates von VMware. Veraltete Systeme sind das Haupteinfallstor für die Hacker, weshalb Patches ohne Verzögerung installiert werden sollten. Außerdem raten die Behörden dringend dazu, die VMware-Installationen mit Firewalls zusätzlich abzusichern.
Weiterhin wird empfohlen, die Netzwerke sorgfältig auf verdächtige Aktivitäten zu überwachen. Das BSI und das BfV stellen dafür Listen mit Indikatoren zur Verfügung, den sogenannten „Indicators of Compromise“ (IoCs). Anhand dieser Merkmale, wie zum Beispiel verdächtige IP-Adressen oder Dateinamen, können IT-Sicherheitsteams gezielt nach Spuren der Hacker suchen.
Zusätzlich sollten Zugriffsrechte restriktiv vergeben werden. Nicht jeder Mitarbeiter benötigt administrativen Zugriff auf kritische Systeme. Eine Multi-Faktor-Authentifizierung, bei der Nutzer ihre Identität durch zwei oder mehr Merkmale bestätigen müssen, erhöht die Sicherheit ebenfalls erheblich.
