Australien steht unter Cyberbeschuss
Australien ist zur Zielscheibe von Cyberangriffen geworden. Nach Angaben der australischen Regierung steckt ein staatlicher Akteur dahinter. Die Angreifer nutzen Exploit Codes, Webshells und andere Tools, die nahezu identisch aus Open-Source-Quellen übernommen wurden.
Australien ist nach Angaben seiner Regierung das Ziel massiver Cyber-Angriffe. "Diese Aktivitäten sind nicht neu, doch die Frequenz hat in den letzten Monaten zugenommen", sagte Premierminister Scott Morrison am Freitag.
Nach Angaben des Premierministers richten sich die Angriffe gegen wichtige Infrastrukturen, das Bildungs- und Gesundheitswesen, politische Organisationen und Industrieunternehmen. Es seien jedoch keine Daten gestohlen worden.
Gemäss dem Australian Cyber Security Centre (ACSC), dem Pendant zur schweizerischen
Melde- und Analysestelle Informationssicherung (Melani), deuten Umfang und Art der gezielten Angriffe und die verwendeten Techniken darauf hin, dass der Angreifer ein staatlicher Akteur ist. Als Journalisten Scott Morrison auf der Pressekonferenz vom Freitag baten, ein Land zu nennen, zog es der Premierminister vor, keinen Namen zu nennen, und bestätigte lediglich, dass "nur wenige staatliche Akteure sich an Angriffen dieses Ausmasses beteiligen können". Für Experten steht aber ausser Frage, dass China dahintersteckt, wie "SRF" berichtet.
Die Angriffe sind komplex
Das ACSC erklärt, dass sich die Attacke auf den Einsatz von Exploit Codes, Webshells und anderen Tools stützt, die nahezu identisch aus Open-Source-Quellen kopiert wurden ("Copy-paste compromised"). Man habe festgestellt, dass der Akteur eine Reihe von initialen Zugriffsvektoren verwendet. Der häufigste ist die Ausnutzung von Schwachstellen öffentlich zugänglicher Infrastrukturen. Eine Deserialisierungsschwachstelle in Microsoft Internet Information Services (IIS), eine Schwachstelle in SharePoint 2019 und eine in Citrix 2019 wurden ebenfalls genutzt.
Wenn die Ausnutzung von Schwachstellen öffentlicher Infrastrukturen scheitert, setzt der Angreifer verschiedene Spear-Phishing-Methoden ein: Links zu Websites zum Extrahieren von Identifikationsinformationen, E-Mails mit bösartigen Dateien oder Anstiftung zur Vergabe von Office 365 OAuth-Token. Sobald er erstmals Zugriff erhält, verwendet der Täter eine Mischung aus Open-Source- und eigenen Tools, um mit dem infiltrierten Netzwerk zu interagieren.
Das ACSC stellte fest, dass der Angreifer legitime, aber kompromittierte australische Websites mit gestohlenen Identifikatoren als Befehls- und Kontrollserver benutzt. Die Befehle und Kontrolle wurden hauptsächlich mit Web-Shells und HTTP/HTTPS-Verkehr durchgeführt. Diese Technik macht das Geoblocking unwirksam und legitimierte so den bösartigen Netzwerkverkehr.
Was hinter dem vertikal rotierenden Fisch steckt
Wie Cyberkriminelle Suchmaschinen manipulieren
Hacker greifen Westschweizer Radiologiezentren an
Update: Referendumskomitee reicht 50'000 Unterschriften gegen neue E-ID ein
Wenn ein Unbekannter sich plötzlich auf dem Playstation-Konto einloggt
Die Redaktion macht Osterferien
Die Swiss Cyber Security Days 2026 rücken digitale Souveränität ins Zentrum
Cyberkriminelle phishen mit gefälschten Postquittungen
Das grosse Klon-Dilemma auf Kamino
