Cybersicherheit Chinesische Hacker greifen USA über Kuh-App an

Dirk Jacquemien

10.3.2022

Selbst Kuh-Apps sind nicht vor Hacker*innen gefeilt.
Selbst Kuh-Apps sind nicht vor Hacker*innen gefeilt.
Getty Images

Ein Grossangriff staatlicher chinesische Hacker*innen auf US-Bundesstaaten wurde enttarnt. Dabei nutzten die Angreifer*innen auch eine App zur Überwachung von Kühen.

Dirk Jacquemien

Westliche Sicherheitsexpert*innen schreiben der chinesischen Hackergruppe «Double Dragon», auch bekannt als APT41, ein hohes Mass an Kreativität bei ihren Angriffen zu. Diesem Ruf wurde «Double Dragon» erneut wieder gerecht. Denn die Sicherheitsfirma Mandiant deckte auf, dass die Gruppe eine App zur Überwachung von Kühen als Einfallstor zur Infiltration der internen Netze von US-Bundesstaaten nutzte.

Mit der U.S. Animal Health Emergency Reporting Diagnotics-App, kurz USAHerds, können Veterinärbehörden Kuhherden in ihrem Verantwortungsbereich überwachen und allfällige Erkrankungen dokumentieren. 18 US-Bundesstaaten verwenden das als Webapp abrufbare USAHerds.

Interne Netzwerke haben Fülle an sensiblen Daten

Doch USAHerds hatte eine zuvor unbekannte Sicherheitslücke, einen sogenannten Zero-Day-Exploit, den APT41 ab Juni 2021 ausnutzten konnte. Die Gesundheit amerikanischer Kühe war dabei freilich nicht das Hauptinteresse der chinesischen Hacker*innen.

Vielmehr sollte die App als Einfallstor genutzt werden. Denn die Geräte der Veterinärbeamt*innen waren ans interne Netzwerk der Bundesstaaten angebunden. Ein Eindringen in diese Netzwerke bietet den Hacker*innen Zugriff auf eine Fülle von sensiblen Daten, etwa zu politischen Beratungen oder wirtschaftlichen Projekten.

Auch weitere Sicherheitslücke ausgenutzt

Konkrete Beweise für ein Eindringen über USAHerds fand Mandiant nur in den Systemen zweier Bundesstaaten, aber alle 18, die die App nutzten, waren bis zur Lancierung eines Sicherheitsupdate im November 2021 anfällig. Vermutlich gibt es daher eine erhebliche Dunkelziffer.

Nachdem USAHerds als Einfallstor wegfiel, wechselte der doppelte Drache schnell die Taktik. Er nutzte nun die im Dezember 2021 publik gewordene Sicherheitslücke in der Server-Software Log4j, um weitere Bundesstaaten zu kompromittieren.