[datensicherheit.de, 28.10.2021] Proofpoint hat nach eigenen Angaben eine neue Hacker-Gruppe identifiziert und führt diese ab sofort als „TA2722“ („Threat Actor 2722“, auch „Balikbayan Foxes“). Diese Gruppe imitiert demnach unterschiedliche philippinische Behörden und attackiert so Unternehmen in Europa, Nordamerika und Südostasien mit bekannten Remote-Access-Trojanern (RATs) – auch Deutschland sei betroffen.

TA2722 täuscht in der Regel vor, ein Amt oder eine Behörde der Philippinen zu sein

„TA2722“ gebe sich bei seinen Kampagnen in der Regel als ein Amt oder eine Behörde der Philippinen aus, darunter das Gesundheitsministerium, die Philippine Overseas Employment Administration (POEA) oder das Bureau of Customs. Gelegentlich aber auch als die Botschaft des Königreichs Saudi-Arabien in Manila und DHL Philippines.

TA2722-Nachrichten adressieren Unternehmen unterschiedlichster Branchen

Die Nachrichten der Kriminellen richteten sich an eine Vielzahl von Unternehmen unterschiedlichster Branchen in Nordamerika, Europa und Südostasien, darunter Schifffahrt, Logistik, Fertigung, Unternehmensdienstleistungen, Pharmazie, Energie und Finanzen.

TA2722-Attacken auf Basis von Remote-Access-Trojanern

Bei ihren Attacken setzten die Hacker auf bekannte Remote-Access-Trojaner wie „Remcos-RAT“ und „NanoCore“. Diese würden häufig zur Informationsbeschaffung, zum Datendiebstahl sowie zur Überwachung und Kontrolle kompromittierter Computer eingesetzt.

Weitere Informationen zum Thema:

datensicherheit.de, 02.11.2020
Neuer Proofpoint-Report: Healthcare Threat Landscape

proofpoint, Selena Larson & Joe Wise, 27.10.2021
New Threat Actor Spoofs Philippine Government, COVID-19 Health Data in Widespread RAT Campaigns

[datensicherheit.de, 07.04.2016] Viele mögen das sogenannte „eGovernment“ als eine große zukunftsweisende Erleichterung empfinden – Wahlregistrierung im Internet, Stimmabgabe an elektronischen Wahlmaschinen, online in Echtzeit einsehbare Stimmenauszählung… Was in vielen Ländern noch wie Zukunftsmusik klingt, ist auf den Philippinen Realität. Aber diese Realität gleicht momentan eher einem Albtraum denn dem Traum vom digitalen Glück: Laut einer aktuellen Meldung aus dem Hause Trend Micro soll die gesamte Datenbank der philippinischen Wahlkommission „COMELEC“ gehackt und im Internet veröffentlicht worden sein.

Starke Zweifel an der Sicherheit elektronischer Wahlmaschinen

Nach Recherchen des japanischen IT-Sicherheitsanbieters sollen die persönlichen Daten der 55 Millionen registrierten Wähler im In- und Ausland einsehbar sein. Das lasse laut Trend Micro „starke Zweifel an der Sicherheit der elektronischen Wahlmaschinen“ aufkommen. Unter Umständen seien die am 9. Mai 2016 anstehenden Präsidentschaftswahlen jetzt manipulierbar.

Erste Hackergruppe hatte im März 2016 sogar gewarnt

Nach dem erfolgreichen Angriff einer ersten Hackergruppe Ende März 2016 auf die Website der Wahlkommission (Commission on Election) komme es jetzt noch schlimmer, denn eine zweite Hackergruppe habe die gesamte Datenbank der Wahlkommission entwendet und veröffentlicht.
Diesem Vorfall sollen scharfe Mahnungen der ersten Hackergruppe vorausgegangen sein, die elektronischen Wahlmaschinen besser zu sichern. Diese Warnungen seien jedoch von den Zuständigen nicht ernstgenommen worden. Somit sei der Präsidentschaftswahlkampf auf den Philippinen um einen Skandal reicher. In der Tat handele es sich um das bislang größte Datenleck im Zusammenhang mit Regierungsbehörden weltweit, so Trend Micro.

Vertuschung statt Fehlerbehebung

Bislang spiele die Wahlkommission den Skandal herunter und behauptete unter anderem, es seien keine sensiblen Daten gestohlen worden. Zu den jetzt frei zugänglichen persönlichen Informationen von 55 Millionen registrierten Wahlberechtigten gehörten unter anderem 1,3 Millionen Datensätze von im Ausland lebenden Philippinern, deren Passnummern, aber auch über 15 Millionen elektronisch gespeicherte Fingerabdrücke. Zudem seien die Dateien der Präsidentschaftskandidaten abrufbar, in die nach der Auszählung die jeweils erhaltenen Stimmen eingetragen werden sollen.
Über die gehackte Website sei auch die Echtzeit-Stimmenauszählung abrufbar, die auf die Daten der elektronischen Wahlmaschinen in den Wahllokalen und die Stimmabgabe per Internet zugreife. Somit stelle sich die Frage, ob die Angreifer im schlimmsten Fall auch die Wahlergebnisse manipulieren könnten. Auch wenn über die Antwort auf diese Frage im Augenblick nur spekuliert werden könne, stehe für die Trend-Micro-Forscher fest, dass diese Angriffe nicht möglich gewesen wären, wenn die Wahlkommission bei der Sicherheit ihrer Systeme nicht „geschludert“ hätte.

Datendiebstahl nicht auf Regierungen und Behörden beschränkt

Datendiebstahl sei kein auf Regierungen und Behörden beschränktes Phänomen. In der Tat stehe der Öffentliche Sektor nach Untersuchungen der von Datenverlusten betroffenen Bereiche weltweit erst an dritter Stelle, sagt Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro.
Mindestens ebenso große Sorgen sollten die Unternehmen bereiten, die über enorme Datenschätze über uns alle verfügen – ein aus der Sicht der Cyberkriminellen und -spione lohnendes Ziel. Datenschutz sei noch lange nicht in allen Organisationen integraler Bestandteil des allgemeinen Risikomanagements mit definierten Sicherheitsmechanismen, Verantwortlichkeiten und Rollen – wie der des Datenschutzbeauftragten – sowie geeigneten Prozessen. „Hier ist also noch viel zu tun“, betont  Rösler.