Radware identifiziert neue Kampagne der 8220 Gang

24. Januar 2023

Radware hat zu Jahresbeginn neue Attacken der seit 2017 aktiven 8220 Gang festgestellt, einer gewinnorientierten Hackergruppe aus China, die vor allem öffentliche Cloud-Umgebungen angreift. Diese Angriffe führt die auch als 8220 Mining Group bekannte Gruppe mit einem speziell entwickelten Krypto-Miner und einem IRC-Bot durch und zielt damit insbesondere auf schlecht gesicherte Cloud-Anwendungen ab. Die 8220 Gang hat ihre Taktiken und Strategien seit 2017 weiterentwickelt, ihre Fähigkeiten sind jedoch nicht perfekt. So konnte Radware einen Angriffsversuch auf einen seiner Redis-Honeypots feststellen. Redis war nach dem Radware Threat Report 2022 im vergangenen Jahr der am vierthäufigsten gescannte und ausgenutzte TCP-Port, während er 2021 noch auf Platz 10 lag.

„Die Bedrohung durch Cloud-Umgebungen und unsichere Anwendungen stellt weiterhin ein Risiko für Unternehmen auf der ganzen Welt dar, insbesondere für solche, die schwache Anmeldeinformationen verwenden oder Schwachstellen nicht sofort patchen“, kommentiert Daniel Smith, Cyber Threat Intelligence Research Head bei Radware. „Aufgrund mangelnder Sicherheitshygiene sind auch relativ gering qualifizierte Gruppen wie die 8220 Gang in der Lage, einen erheblichen Schaden in den Zielsystemen anzurichten.“

Das Hauptziel der 8220 Gang ist es, schlecht gesicherte Cloud-Server mit einem speziell entwickelten Krypto-Miner und einem Tsunami IRC-Bot zu kompromittieren und die Unternehmen mit den Folgen zu konfrontieren. Das Hauptproblem bei Krypto-Mining-Malware ist, dass sie die Systemleistung stark beeinträchtigen kann. In elastischen Umgebungen kann solche Malware auch zur automatisierten und kostenpflichtigen Erweiterung von Ressourcen führen, die das Opfer des Angriffs dann zu bezahlen hat. Darüber hinaus kann sie Systeme weiteren Sicherheitsrisiken aussetzen, und sobald diese infiziert sind, können die Angreifer denselben Zugang nutzen, um andere Arten von Malware zu installieren. Dazu gehören Keylogger und Tools für den Fernzugriff, die dann genutzt werden können, um sensible Informationen zu stehlen, sich unbefugten Zugriff auf sensible Daten zu verschaffen oder Ransomware und Wiper zu installieren. Als Backdoor nutzt die 8220 Gang den Tsunami-Bot, der es ihr ermöglicht, Systeme aus der Ferne zu kontrollieren und DDoS-Angriffe (Distributed Denial of Service) zu starten.

Radware empfiehlt in einem Threat Advisory zur neuen Kampagne der 8220 Gang, für ein hohes Maß an Transparenz auch in der Public Cloud zu sorgen, zumal Public-Cloud-Anbieter meist nur begrenzte Sicherheitskontrollen anbieten, so dass es für Bedrohungsakteure einfacher ist, Schwachstellen zu finden und auszunutzen.