Eine mit China verbundene Hackergruppe hat \u00fcber eine kritische Schwachstelle in Dells Backup-Software monatelang unentdeckt Systeme kontrolliert. Dell und US-Beh\u00f6rden dr\u00e4ngen auf sofortige Installation des Patches.<\/p>\n
Eine mit China in Verbindung stehende Hackergruppe nutzt seit Mitte 2024 eine kritische Sicherheitsl\u00fccke in Dells Datensicherungssoftware aus. Die Angreifer erlangten so root-Zugriff auf Systeme und blieben monatelang unentdeckt \u2013 ein Alarmsignal f\u00fcr Unternehmen weltweit.<\/p>\n
Die als CVE-2026-22769 eingestufte Schwachstelle in Dell RecoverPoint for Virtual Machines erreicht die maximale Gefahrenstufe 10.0. Sie erm\u00f6glichte es der als UNC6201 identifizierten Gruppe, unauthentifiziert und aus der Ferne vollst\u00e4ndige Kontrolle \u00fcber betroffene Systeme zu \u00fcbernehmen. Dell hat inzwischen ein kritisches Update ver\u00f6ffentlicht und dr\u00e4ngt Kunden zur sofortigen Installation. Auch die US-Cybersicherheitsbeh\u00f6rde CISA hat die L\u00fccke als aktiv ausgenutzt eingestuft und fordert Bundesbeh\u00f6rden zur Patchnutzung bis zum 21. Februar 2026 auf.<\/p>\n
Geheime Angriffskampagne aufgedeckt<\/p>\n
Die Spionageaktivit\u00e4ten kamen durch Untersuchungen von Mandiant ans Licht. Die Forscher entdeckten kompromittierte Dell-RecoverPoint-Ger\u00e4te, die mit bekannten Kommando-Servern kommunizierten. Der Angriffsweg war simpel, aber verheerend: Die Angreifer nutzten fest eingebaute Admin-Zugangsdaten f\u00fcr eine Komponente der Software, um eine sch\u00e4dliche Webanwendung zu installieren. Diese sogenannte SLAYSTYLE-Webshell gew\u00e4hrte ihnen dann uneingeschr\u00e4nkte Befehlsausf\u00fchrung.<\/p>\n
\u201eDie Ausnutzung l\u00e4uft nach unseren Erkenntnissen seit Mitte 2024\u201c, so die Analysten. Das bedeutet: Die Gruppe operierte etwa 18 Monate lang unentdeckt in den Netzwerken der Opfer. Ein beunruhigender Beleg f\u00fcr die Tarnf\u00e4higkeiten moderner Staatstrojaner.<\/p>\n
Im Netzwerk: Von BRICKSTORM zu GRIMBOLT<\/p>\n
Einmal im System, legte UNC6201 ein ganzes Arsenal an Schadsoftware an. Zun\u00e4chst setzte die Gruppe auf den bekannten Backdoor BRICKSTORM, der bereits mit chinesischen Spionageangriffen auf US-Kritische Infrastruktur in Verbindung gebracht wurde.<\/p>\n
Doch die Taktik entwickelte sich weiter. Ab September 2025 ersetzten die Hacker BRICKSTORM durch einen neuen, ausgekl\u00fcgelteren Backdoor namens GRIMBOLT. Dieses in C## geschriebene Programm nutzt eine spezielle Kompilierungstechnik, die die Analyse und Erkennung durch Sicherheitstools erheblich erschwert.<\/p>\n
Besonders trickreich: Die Angreifer schufen sogenannte \u201eGhost NICs\u201c \u2013 tempor\u00e4re, versteckte Netzwerkanschl\u00fcsse auf virtuellen Maschinen. \u00dcber diese konnten sie sich unbemerkt im gesamten VMware-Netzwerk bewegen und sogar auf Cloud-Systeme zugreifen. Eine Methode, die klassische Perimeter-Verteidigung umgeht.<\/p>\n
Warum Backup-Systeme so attraktiv sind<\/p>\n
Der Angriff auf eine Datensicherungsl\u00f6sung wie RecoverPoint ist strategisch klug. Diese Systeme haben nicht nur Zugriff auf die wertvollsten Daten eines Unternehmens, sondern k\u00f6nnten im Ernstfall auch Wiederherstellungsprozesse nach einem folgenschweren Angriff sabotieren. Ein kompromittiertes Backup ist doppelt fatal.<\/p>\n
Die lange unentdeckte Verweildauer der Hacker unterstreicht ein grundlegendes Problem: Viele spezialisierte Netzwerkger\u00e4te und Appliances unterst\u00fctzen keine standardm\u00e4\u00dfigen Endpoint-Detection-L\u00f6sungen (EDR). Sie bleiben damit oft blinde Flecken in der Sicherheits\u00fcberwachung.<\/p>\n
Dell betont in seiner Sicherheitswarnung, dass die betroffenen RecoverPoint-Appliances nur in vertrauensw\u00fcrdigen, internen Netzwerken betrieben und keinesfalls dem \u00f6ffentlichen Internet ausgesetzt werden sollten. Das Patch-Update auf Version 6.0.3.1 HF1 sollte umgehend installiert werden.<\/p>\n
Die Lehren aus dem Langzeit-Angriff<\/p>\n
Sicherheitsexperten sehen Parallelen zwischen UNC6201 und anderen chinesischen Hackergruppen wie UNC5221 (Silk Typhoon). Das Muster ist klar: Staatlich unterst\u00fctzte Angreifer zielen zunehmend auf Virtualisierungs- und Edge-Technologien als Einfallstor in Unternehmensnetzwerke.<\/p>\n
Was bedeutet das f\u00fcr deutsche Unternehmen? Der Vorfall ist ein Weckruf f\u00fcr drei kritische Ma\u00dfnahmen:
1. Sofortiges Patchen aller betroffenen Dell-RecoverPoint-Systeme.
2. Proaktive Suche nach Kompromittierungsindikatoren (IOCs) der Schadsoftware BRICKSTORM und GRIMBOLT in den eigenen Netzen.
3. \u00dcberpr\u00fcfung der Sicherheitsarchitektur, insbesondere bei speziellen Appliances, und strikte Netzwerksegmentierung.<\/p>\n
Anzeige<\/p>\n
Unternehmen sollten ihre Abwehr gegen gezielte Angriffe jetzt pr\u00fcfen \u2013 ein kostenloser Praxis-Report erkl\u00e4rt, welche Sofortma\u00dfnahmen helfen, IOCs zu finden, Backup- und Virtualisierungsinfrastruktur zu h\u00e4rten und Erkennungs-L\u00fccken zu schlie\u00dfen. Der Leitfaden richtet sich an IT-Verantwortliche und bietet konkrete Checklisten f\u00fcr den schnellen Einsatz. Kostenloses Cyber-Security-E-Book herunterladen<\/a><\/p>\n Die Ausnutzung einer Zero-Day-L\u00fccke \u00fcber anderthalb Jahre zeigt, mit welcher Geduld und welchen Ressourcen staatliche Akteure vorgehen. In einer Zeit, in der Daten der wertvollste Rohstoff sind, r\u00fccken Backup- und Recovery-Systeme unweigerlich ins Visier der Cyber-Spionage. Die Frage ist nicht mehr, ob sie angegriffen werden, sondern wann \u2013 und ob die Abwehr dann bereit ist.<\/p>\n \t\t
\n\t\t\t@ boerse-global.de
<\/p>\n
\n\t\t\t\t\t\tHol dir den Wissensvorsprung der Profis. Seit 2005 liefert der B\u00f6rsenbrief trading-notes verl\u00e4ssliche Trading-Empfehlungen \u2013 dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden. <\/a>
\n\t\t\t\t\t<\/p>\n","protected":false},"excerpt":{"rendered":"Eine mit China verbundene Hackergruppe hat \u00fcber eine kritische Schwachstelle in Dells Backup-Software monatelang unentdeckt Systeme kontrolliert. Dell…\n","protected":false},"author":2,"featured_media":2016,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[46,42,249,1806,1805,1226,1222,1809,1807,1808,44,1227,1810,97,96,101,98,100,99],"class_list":{"0":"post-2015","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-at","9":"tag-austria","10":"tag-china","11":"tag-chinesische","12":"tag-dell","13":"tag-dells","14":"tag-hacker","15":"tag-hackergruppe","16":"tag-luecke","17":"tag-monaten","18":"tag-oesterreich","19":"tag-recoverpoint","20":"tag-schwachstelle","21":"tag-science","22":"tag-science-technology","23":"tag-technik","24":"tag-technology","25":"tag-wissenschaft","26":"tag-wissenschaft-technik"},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/2015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/comments?post=2015"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/2015\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media\/2016"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media?parent=2015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/categories?post=2015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/tags?post=2015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}