VShell: Chinesisch-sprachiges Cyberspionage-Tool auf über 1.500 Servern.
Der europäische Cybersicherheitsspezialist NVISO hat eine groß angelegte Cyberspionagekampagne nachgewiesen, die mittels der modularen Backdoor VShell durchgeführt wurde. Von der Kampagne waren mehr als 1.500 Server betroffen, auf denen VShell installiert war.
Zusammenfassung (TL; DR):
- Malware VShell die mit chinesisch-sprachigen Akteuren in Verbindung gebracht wird, wurde für die Infiltration von Regierungsbehörden, Gesundheitsdienstleistern, militärischen Einrichtungen und Forschungsorganisationen genutzt
- Ziel ist nicht Daten-Diebstahl, sondern einen strategischen Zugang zu kritischen Infrastrukturen in Sektoren wie Energie, Gesundheit, Kommunikation und Transport zu erhalten
Die Malware, die weithin mit chinesisch-sprachigen Akteuren in Verbindung gebracht wird, wurde für die langfristige Infiltration von Regierungsbehörden, Gesundheitsdienstleistern, militärischen Einrichtungen und Forschungsorganisationen genutzt. Betroffen sind unter anderem Regierungsbehörden und -einrichtungen in Europa.
Die Entdeckung gelang im Rahmen einer digitalen Forensik-Untersuchung bei einer europäischen Organisation. Weitere Untersuchungen führten NVISO zur Identifizierung einer globalen Infrastruktur von Command-and-Control-Servern. Während diese hauptsächlich in Südamerika, Afrika und im asiatisch-pazifischen Raum angesiedelt waren, konnte NVISO feststellen, dass von den Angriffen auch europäische Organisationen betroffen waren.
Teil eines Musters: zunehmende globale Spionage
Laut dem NVISO-Report hat sich die Cyberspionage durch mit China verbundene Gruppen in den letzten zehn Jahren von offenem und opportunistischem Datendiebstahl zu stillen, langfristigen Infiltrationsstrategien entwickelt. Michel Coene, Partner bei NVISO: „Bedrohungsakteure nutzen heute zunehmend Techniken wie Living-off-the-Land. Das bedeutet, dass sie legitime Software missbrauchen, die bereits in Systemen vorhanden ist. Sie zielen auch auf Geräte wie Firewalls und VPNs ab – Systeme, die für die Sicherheit entwickelt wurden, aber bekanntermaßen schwer zu überwachen sind.”
Das Ziel bestehe nicht mehr nur darin, Daten zu stehlen, sondern einen strategischen Zugang zu kritischen Infrastrukturen in Sektoren wie Energie, Gesundheit, Kommunikation und Transport zu erhalten. Diese Art von Zugang kann in Zeiten geopolitischer Spannungen zur Überwachung, Einflussnahme oder für Störungen genutzt werden. Coene weiter: „Advanced Persistent Threats wie Volt Typhoon haben gezeigt, wie Angreifer unbemerkt dauerhaften Zugang zu wichtigen Systemen erlangen, oft als Vorbereitung auf zukünftige Konflikte.”
Dieser Trend spiegele die umfassenderen Geheimdienstziele Chinas wider, die historisch in akademischem Austausch und Joint Ventures verwurzelt sind. Mit Operationen wie Cloud Hopper (APT10) und anderen, die IT-Dienstleister instrumentalisieren, verschwimme die Grenze zwischen Spionage und Kompromittierung der Lieferkette zunehmend. Die Entdeckung der VShell-Infrastruktur bestätigt, dass diese Operationen keine Einzelfälle sind, sondern Teil einer systematischen weltweiten Strategie. Michel Coene: „Unternehmen müssen dies als ein Geschäftsrisiko betrachten, das die Aufmerksamkeit der Geschäftsleitung erfordert, und nicht nur als ein IT-Problem.”
Ein getarntes und modulares Einbruchswerkzeug
VShell wurde ursprünglich als legitimes Open-Source-Sicherheitsprojekt entwickelt, hat sich jedoch zu einem leistungsstarken Remote Access Trojaner (RAT) entwickelt. VShell ist hochgradig modular und plattformübergreifend. Es unterstützt verschlüsselte Kommunikation, Dateiübertragung, Bildschirmaufzeichnung und Befehlsausführung. Nach der Installation ermöglicht es Angreifern, sich lateral über Systeme hinweg zu bewegen und dabei nur minimale forensische Spuren zu hinterlassen.
Eine solche Spur auf einem kompromittierten Server wurde während der digitalen Forensik- und Incident-Response-Arbeiten von NVISO in einem Fall gefunden, an dem eine europäische Organisation beteiligt war. Weitere Untersuchungen und Analysen deckten schließlich zum ersten Mal eine globale Infrastruktur kompromittierter Systeme auf. NVISO entwickelte daraufhin eine eigene Methode zur Erkennung betroffener Server und arbeitete mit Team Cymru zusammen, um die Infrastruktur bis auf Unternehmensebene zurückzuverfolgen.
Starke Verbindungen zu China, aber breitere Nutzung bestätigt
VShell wurde öffentlich mit UNC5174 in Verbindung gebracht, einem mutmaßlichen Initial Access Broker, der mit dem chinesischen Ministerium für Staatssicherheit in Verbindung steht. NVISO bestätigt zwar, dass chinesischsprachige Akteure die häufigsten Nutzer des Tools sind, doch aufgrund der öffentlichen Verfügbarkeit von VShell wurde es auch von anderen staatsnahen und unabhängigen Akteuren eingesetzt. NVISO betrachtet VShell als Teil eines wachsenden und vielfältigen Ökosystems von Angreifern. Seine einfache Verfügbarkeit und Effektivität machen es zu einem bevorzugten Werkzeug für Cyberspionage-Operationen, die sowohl auf Organisationen des öffentlichen als auch des privaten Sektors abzielen.
Bedrohung durch VShell erfordert Abwehrmaßnahmen
„Bei der heutigen Cyberspionage geht es nicht nur um den Diebstahl von Dateien, sondern um langfristige Infiltration, Einflussnahme und sogar Sabotage, wenn dies den strategischen Zielen dient“, erklärt Michel Coene. „Der Fall unterstreicht die wachsende Bedeutung der europäischen Cybersicherheitsfähigkeiten bei der Aufdeckung und Bekämpfung globaler Cyberbedrohungen. Der globale Umfang dieser Kampagne beweist, dass jede Organisation zum Ziel werden kann. Deshalb ist es unerlässlich, proaktiv Maßnahmen zu ergreifen, wie zum Beispiel exponierte Systeme schnell zu patchen, kritische Netzwerke zu segmentieren, mehrschichtige Erkennung mit Threat Intelligence einzusetzen und aktiv nach Anzeichen für Kompromittierungen zu suchen. Wir haben technische Indikatoren und Erkennungshinweise veröffentlicht, um Organisationen dabei zu helfen, zu beurteilen, ob sie betroffen sind und was als Nächstes zu tun ist.“
Dies ist bereits das zweite Mal in diesem Jahr, dass NVISO eine Backdoor-Kampagne öffentlich gemacht hat, die im Interesse des chinesischen Staates für Cyberspionage genutzt wurde. Anfang dieses Jahres deckte NVISO die Malware BRICKSTORM auf, die ebenfalls mit Angriffen auf kritische Infrastrukturen in Verbindung stand. In Zusammenarbeit mit dem Threat-Intelligence-Spezialisten Team Cymru gelang es NVISO, die VShell-Befehls- und Kontrollserver mit den betroffenen Organisationen in Verbindung zu bringen. NVISO benachrichtigte daraufhin die Opfer und veröffentlichte technische Anleitungen zur Gefahrenerkennung. Alle identifizierbaren betroffenen Organisationen wurden über diese Entdeckung und die erforderlichen Maßnahmen informiert.
Der ausführliche Report „Decoding VShell” ist ab sofort kostenlos verfügbar.
