Australien steht unter Cyberbeschuss
Australien ist zur Zielscheibe von Cyberangriffen geworden. Nach Angaben der australischen Regierung steckt ein staatlicher Akteur dahinter. Die Angreifer nutzen Exploit Codes, Webshells und andere Tools, die nahezu identisch aus Open-Source-Quellen übernommen wurden.
Australien ist nach Angaben seiner Regierung das Ziel massiver Cyber-Angriffe. "Diese Aktivitäten sind nicht neu, doch die Frequenz hat in den letzten Monaten zugenommen", sagte Premierminister Scott Morrison am Freitag.
Nach Angaben des Premierministers richten sich die Angriffe gegen wichtige Infrastrukturen, das Bildungs- und Gesundheitswesen, politische Organisationen und Industrieunternehmen. Es seien jedoch keine Daten gestohlen worden.
Gemäss dem Australian Cyber Security Centre (ACSC), dem Pendant zur schweizerischen
Melde- und Analysestelle Informationssicherung (Melani), deuten Umfang und Art der gezielten Angriffe und die verwendeten Techniken darauf hin, dass der Angreifer ein staatlicher Akteur ist. Als Journalisten Scott Morrison auf der Pressekonferenz vom Freitag baten, ein Land zu nennen, zog es der Premierminister vor, keinen Namen zu nennen, und bestätigte lediglich, dass "nur wenige staatliche Akteure sich an Angriffen dieses Ausmasses beteiligen können". Für Experten steht aber ausser Frage, dass China dahintersteckt, wie "SRF" berichtet.
Die Angriffe sind komplex
Das ACSC erklärt, dass sich die Attacke auf den Einsatz von Exploit Codes, Webshells und anderen Tools stützt, die nahezu identisch aus Open-Source-Quellen kopiert wurden ("Copy-paste compromised"). Man habe festgestellt, dass der Akteur eine Reihe von initialen Zugriffsvektoren verwendet. Der häufigste ist die Ausnutzung von Schwachstellen öffentlich zugänglicher Infrastrukturen. Eine Deserialisierungsschwachstelle in Microsoft Internet Information Services (IIS), eine Schwachstelle in SharePoint 2019 und eine in Citrix 2019 wurden ebenfalls genutzt.
Wenn die Ausnutzung von Schwachstellen öffentlicher Infrastrukturen scheitert, setzt der Angreifer verschiedene Spear-Phishing-Methoden ein: Links zu Websites zum Extrahieren von Identifikationsinformationen, E-Mails mit bösartigen Dateien oder Anstiftung zur Vergabe von Office 365 OAuth-Token. Sobald er erstmals Zugriff erhält, verwendet der Täter eine Mischung aus Open-Source- und eigenen Tools, um mit dem infiltrierten Netzwerk zu interagieren.
Das ACSC stellte fest, dass der Angreifer legitime, aber kompromittierte australische Websites mit gestohlenen Identifikatoren als Befehls- und Kontrollserver benutzt. Die Befehle und Kontrolle wurden hauptsächlich mit Web-Shells und HTTP/HTTPS-Verkehr durchgeführt. Diese Technik macht das Geoblocking unwirksam und legitimierte so den bösartigen Netzwerkverkehr.
Wie "Subscription Bombing" Sicherheitswarnungen verdeckt
Wie die SCSD 2026 digitale Souveränität sichtbar, vergleichbar und erlebbar machen
Wie Cyberkriminelle KI-Assistenten missbrauchen
Phisher ködern mit Gratisangebot nach gefälschter Galaxus-Umfrage
Gefälschte KI-Extensions spähen 260'000 Chrome-User aus
Apple schliesst bereits ausgenutzte Sicherheitslücke in Dynamic Link Editor
Update: Bund überarbeitet revidierte Überwachungsverordnungen
Set Phasers to Funk
Spam macht 2025 fast die Hälfte des E-Mail-Verkehrs aus
