In den letzten Wochen wurde eine Reihe von Cyberangriffen auf Unternehmens-VPNs entdeckt, die eine von Cyberkriminellen orchestrierte Erkundungsstrategie beleuchten. Diese Angriffe nutzen legitime Infrastrukturen, um exponierte VPN-Zugänge zu kartieren, und unterstreichen erneut die Notwendigkeit erhöhter Wachsamkeit beim Schutz von Unternehmensnetzwerken.
Die 3 wichtigsten Informationen
- Seit Anfang Dezember wurde ein Anstieg der Verbindungsversuche auf den GlobalProtect-Portalen von Palo Alto und den SonicWall-APIs beobachtet.
- Mehr als siebentausend IP-Adressen aus der Infrastruktur von 3xK GmbH waren an diesen Angriffen beteiligt.
- GreyNoise hat wiederkehrende technische Signaturen identifiziert, die auf eine kontinuierliche Kartierung von VPN-Zugängen und Firewalls hindeuten.
Die Angriffe auf VPN-Portale
Anfang Dezember wurde ein bemerkenswerter Anstieg der Verbindungsversuche auf den GlobalProtect-Portalen beobachtet, einem weit verbreiteten VPN-Dienst in Unternehmen. Diese Angriffe stammten hauptsächlich aus der Infrastruktur der 3xK GmbH, einem legitimen Anbieter, dessen einige Server für diese koordinierte Operation missbraucht wurden.
Obwohl dies wie ein isolierter Vorfall erscheinen mag, identifizierten Analysten schnell ein wiederkehrendes Muster, das bereits zwischen September und Oktober beobachtet wurde. Die gleichen technischen Signaturen wurden festgestellt, trotz eines vollständigen Infrastrukturwechsels, was auf eine kontinuierliche Erkundungsbemühung der Cyberkriminellen hindeutet.
Eine erweiterte Zielsetzung auf SonicWall-Firewalls
Am 3. Dezember entwickelten sich die Angriffe weiter, um auch die Verwaltungsoberflächen der SonicWall-Firewalls ins Visier zu nehmen. Die gleichen technischen Signaturen wurden verwendet, was die Hypothese eines einzigen Akteurs verstärkt, der sein Aktionsfeld erweitert. Diese Entwicklung unterstreicht das zunehmende Interesse der Cyberkriminellen an Online-Sicherheitsgeräten.
Die Angriffe offenbaren keine unmittelbaren Schwachstellen, aber sie heben die wesentliche Rolle von VPNs und Firewalls beim Schutz von Netzwerken hervor. Dies erfordert eine kontinuierliche Überwachung, um abnormales Verhalten zu erkennen und die Sicherheitsrichtlinien entsprechend anzupassen.
Empfehlungen zur Stärkung der Sicherheit
Angesichts dieser anhaltenden Bedrohung werden Netzwerkadministratoren ermutigt, die Kontrolle über die Authentifizierungsoberflächen ihrer VPNs und Firewalls zu verstärken. Die Implementierung einer Multi-Faktor-Authentifizierung wird dringend empfohlen, um die Effektivität von Angriffen auf der Grundlage kompromittierter Anmeldeinformationen zu verringern.
Darüber hinaus kann die Verwendung einzigartiger und starker Passwörter die Ausnutzung von Anmeldeinformationen-Lecks verhindern. Eine sorgfältige Überwachung wiederholter Verbindungsversuche ist entscheidend, um diese Art von Kampagne frühzeitig zu erkennen und deren potenziellen Einfluss zu minimieren.
Kontext und Hintergrund von Palo Alto und SonicWall
Palo Alto Networks ist ein 2005 gegründetes amerikanisches Unternehmen, das sich auf Cybersicherheit spezialisiert hat. Es ist bekannt für seine innovativen Netzwerkschutzlösungen, insbesondere seine Firewalls und VPN-Dienste, die weltweit weit verbreitet sind.
SonicWall hingegen ist ein Unternehmen, das 1991 gegründet wurde und sich als führender Anbieter im Bereich der IT-Sicherheitslösungen etabliert hat. Seine Firewalls und Intrusion-Prevention-Systeme werden von vielen Unternehmen genutzt, um ihre digitalen Infrastrukturen vor externen Bedrohungen zu schützen.