Microsoft OneDrive und Google Drive als Angriffsbasis: Hacker verstecken sich in der Cloud

Foto: Golden Dayz – shutterstock.com

Zahlreiche Advanced Persistent Threat (APT)-Gruppen verwenden mittlerweile Cloud-basierte Speicherdienste, wie sie beispielsweise Microsoft und Google anbieten, so eine Studie von Symantec. Dieser Missbrauch kostenloser Cloud-Services durch Cyberkriminelle ist an sich keine Seltenheit und auch nicht neu. Allerdings deuten jüngste Erkenntnisse darauf hin, dass auch nationalstaatlich gesteuerte Cyberspionage-Akteure zunehmend auf diesen Trend aufspringen.

“Allein in den letzten Wochen hat das Threat Hunter Team von Symantec drei weitere Spionageoperationen mit Cloud-Diensten identifiziert und Hinweise auf weitere Tools in der Entwicklung gefunden”, stellten Forscher der Symantec-Abteilung von Broadcom in einem Blogbeitrag fest. Ihre Ergebnisse haben die Security-Experten auch in einem Vortrag auf der Sicherheitskonferenz Black Hat USA vorgestellt, die Anfang August in Las Vegas stattfand.

Cloud-Dienste – schnell, günstig und unauffällig

Kostenlose Cloud-Dienste für ihre kriminellen Machenschaften zu missbrauchen, hat für Hacker und Cyberspione offensichtlich einige Vorteile. Sie sind eine schnelle und kostengünstige Lösung, aber noch wichtiger ist, dass sie den Cyber-Banden eine unauffälligere Kommunikation innerhalb ihrer Netzwerke ermöglichen. Aus Sicht der Security-Experten ist es sehr unwahrscheinlich, dass Sicherheitsprodukte oder Firewalls Verbindungen zu weit verbreiteten Diensten wie Microsoft OneDrive oder Google Drive als verdächtig kennzeichnen – im Gegensatz zu IP-Adressen in China oder Nordkorea.

Mit den CSO-Newslettern bleiben Sie immer top-informiert über die aktuelle Bedrohungslage sowie die neuesten Entwicklungen in Sachen IT-Security.

Allerdings gehen die Hacker mit der Nutzung der frei verfügbaren Online-Dienste auch Risiken ein. Wird ein solcher Missbrauch entdeckt, wird das Konto gesperrt und damit auch den kriminellen Machenschaften erst einmal ein Riegel vorgeschoben. Kooperiert der Cloud-Diensteanbieter mit Sicherheitsbehörden lassen sich darüber hinaus wertvolle Erkenntnisse über die Strategien und Vorgehensweisen der Hacker gewinnen.

Backups und Verschlüsselung – auch Cyberkriminelle achten auf Security

Die Cyberkriminellen können diese Risiken jedoch minimieren. Beispielsweise lassen sich Backup-Kanäle fest in die Malware eincodieren. Dieser Mechanismus greift, wenn der primäre, auf Cloud-Diensten basierende Kanal plötzlich nicht mehr funktioniert. Dann weicht die Malware einfach auf den zweiten Backup-Kanal aus. Außerdem können die Hacker Verschlüsselungstechniken anwenden, um ihre Aktivitäten zu verschleiern und die exfiltrierten Dateien vor Ermittlern zu verstecken.

Die Symantec-Forscher haben etliche Fälle aufgedeckt, wie Hacker beispielsweise Microsoft-Dienste für Command-and-Control- (C2)-Szenarien ausnutzen. Ein Backdoor-Programm namens GoGra, das in der Programmiersprache Go geschrieben ist, wurde im November vergangenen Jahres gegen eine Medienorganisation in Südasien eingesetzt. GoGra nutzt die Microsoft Graph-API, um mithilfe von OAuth-Zugriffstoken auf den Outlook-E-Mail-Dienst zuzugreifen.

Eine andere APT-Malware mit Namen Trojan.Grager nutzt ebenfalls die Microsoft Graph-API. Die Backdoor wurde über ein Trojaner-verseuchtes Installationsprogramm für den 7-Zip-Archivmanager verbreitet und verwendet Microsoft OneDrive. Die Backdoor kann Dateien herunterladen, hochladen und ausführen, und sammelt außerdem System- und Maschineninformationen. Im April 2024 wurden damit verschiedene Organisationen aus Taiwan, Hongkong und Vietnam angegriffen.

Hacker lernen von Hackern

Andere Hacker-Gruppen bevorzugen Google Drive. Ein Beispiel ist ein bisher nicht gemeldetes Daten-Exfiltrations-Tool, das von einer Cyberspionagegruppe namens Firefly gegen ein militärisches Ziel aus Südostasien eingesetzt wurde. Das Tool wurde in Python geschrieben und durchsuchte den lokalen Computer nach JPG-Bilddateien, die dann mithilfe eines Open Source Google-Drive-Clients und eines hartcodierten Tokens in ein Google Drive-Konto hochgeladen wurden.

Cyber-Spione haben in der Vergangenheit wiederholt kostenlose Cloud-Dateispeicherdienste für C2 genutzt, darunter Nordkoreas APT37 (Vedalia) im Jahr 2021, Russlands APT28 (Fancy Bear) im Jahr 2022 und Chinas APT15 (Nickel) im Jahr 2023. Die Anzahl der APT-Bedrohungen, die diese Technik anwenden, hat jedoch nach den Beobachtungen von Symantec im vergangenen Jahr definitiv zugenommen. Alles deute darauf hin, dass die Hacker eindeutig Bedrohungsszenarien anderer Gruppen untersuchten, “und das nachahmen, was sie als erfolgreiche Techniken wahrnehmen”, warnen die Forscher. (ba)