Operation ShadowHammer bedroht eine Millionen Nutzer weltweit

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der Operation ,ShadowHammer‘ [1] handelt es sich um einen sogenannten Supply-Chain-Angriff. Die Angreifer visierten speziell Anwender des Programms ASUS Live Update Utility an. Hierfür wurde mindestens zwischen Juni und November 2018 ein Backdoor-Programm in das Update-Programm injiziert. Die Experten von Kaspersky Lab schätzen, dass weltweit mehr als eine Million Nutzer davon betroffen waren.

Supply-Chain-Angriffe gehören zu den gefährlichsten und wirksamsten Infektionsmethoden und kamen in den vergangenen Jahren zunehmend bei fortschrittlichen Cyberangriffen zum Einsatz [2], zum Beispiel bei ,ShadowPad‘ [3] oder ,CCleaner‘ [4]. Sie zielen auf bestimmte Schwächen innerhalb vernetzter Systeme ab, bei denen menschliche, organisatorische und materielle Ressourcen an einem Produktlebenszyklus beteiligt sind: von der ersten Entwicklungsphase bis hin zum Endnutzer. Das Problem: Auch wenn die Infrastruktur eines Anbieters sicher ist, existieren möglicherweise Schwachstellen in den Systemen der Partner und Dienstleister, über die eine Lieferkette sabotiert werden kann – mit schwerwiegenden Konsequenzen, wie unerwartetem und verheerendem Datenverlust.

Die Hintermänner von ShadowHammer hatten es anfangs auf einen Angriffsvektor via ASUS Live Update Utility abgesehen. Hierbei handelt es sich um ein auf den meisten neuen ASUS-Computern vorinstalliertes Dienstprogramm, das für automatische BIOS-, UEFI-, Treiber- und Anwendungs-Updates zuständig ist. Mit gestohlenen digitalen Zertifikaten, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, konnten die Angreifer ältere Versionen der ASUS-Software manipulieren und ihren eigenen bösartigen Code injizieren. Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar.

Auch wenn dies bedeutet, dass potenziell jeder Nutzer der betroffenen Software zum Opfer hätte werden können, konzentrierten sich die Akteure hinter ShadowHammer darauf, gezielt Zugang zu mehreren hundert Anwendern zu erlangen, die sie bereits im Visier hatten.

ShadowHammer operiert zielgerichtet und versteckt

Wie die Kaspersky-Experten herausfanden, enthielten die Backdoor-Codes eine Tabelle mit fest kodierten MAC-Adressen – die eindeutig identifizierbare Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird.

Sobald das Backdoor auf dem Gerät eines Opfers ausgeführt wurde, glich es die MAC-Adresse mit der Tabelle ab. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter. Im gegenteiligen Fall zeigte das infiltrierte Update-Programm keine Netzwerkaktivität, weshalb es so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten mehr als 600 betroffene MAC-Adressen identifizieren. Auf die Opfersysteme zielten insgesamt über 230 einzigartige Backdoor-Samples mit unterschiedlichen Shellcodes ab.

Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Code-Ausführung, um versehentlichem Code- oder Datenverlust vorzubeugen, deuten darauf hin, dass es den hinter diesem komplexen Angriff stehenden Akteuren sehr wichtig war, unentdeckt zu bleiben und gleichzeitig einige sehr spezifische Ziele mit extremer Präzision ins Visier zu nehmen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand innerhalb der Gruppe widerspiegelt.

Bei der Suche nach ähnlicher Malware sind die Experten auf Software drei weiterer Anbieter in Asien gestoßen, die alle mit sehr ähnlichen Methoden und Techniken ausgestattet sind. Kaspersky Lab hat Asus und die anderen Anbieter darüber in Kenntnis gesetzt.

„Die betroffenen Anbieter sind äußerst attraktive Ziele für APT-Gruppen, die von deren großem Kundenstamm profitieren wollen“, sagt Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab. „Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausführung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenhängt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorfällen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie komplex und gefährlich ein raffinierter Supply-Chain-Angriff heute sein kann.“

Sicherheitsmaßnahmen für Unternehmen

Um nicht Opfer eines gezielten Angriffs eines bekannten oder unbekannten Bedrohungsakteurs zu werden, empfehlen die Experten von Kaspersky Lab Unternehmen und Organisationen die folgenden Maßnahmen:

• Neben Endpoint-Schutz bietet eine unternehmensweite Sicherheitslösung, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie beispielsweise die Kaspersky Anti Targeted Attack Platform [5], zusätzlichen Schutz.
• Bei der Erkennung, Untersuchung und rechtzeitigen Behebung von Sicherheitsvorfällen unterstützen EDR-Lösungen wie Kaspersky Endpoint Detection and Response [6] oder externe Incident Response Teams [7].
• Zudem ermöglicht die Integration von Threat-Intelligence-Feeds [8] im eigenen SIEM-Programm (Security Information and Event Management) und andere Sicherheitskontroll-Tools Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten.

Kaspersky Lab wird die vollständigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen [9].

Ein vollständiger Bericht über die ShadowHammer-Kampagne ist bereits für Kunden des Kaspersky Intelligence Reporting Service verfügbar.

Ein Blog, der den Angriff zusammenfasst, sowie ein spezielles Tool zur Überprüfung, ob die Geräte der Benutzer ein Ziel waren, ist unter https://securelist.com/operation-shadowhammer/89992/ verfügbar. Wer prüfen möchte, ob er von der Gefahr betroffen ist, kann dies unter https://shadowhammer.kaspersky.com/ tun.

^[1]https://securelist.com/operation-shadowhammer/89992/ und https://kas.pr/3t1k

^[2]https://securelist.com/kaspersky-security-bulletin-threat-predictions-for-2019/88878/

^[3]https://securelist.com/shadowpad-in-corporate-networks/81432/

^[4]https://www.kaspersky.com/blog/ccleaner-supply-chain/21785/

^[5]https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

^[6]https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

^[7]https://www.kaspersky.de/enterprise-security/incident-response

^[8]https://www.kaspersky.de/enterprise-security/threat-intelligence

^[9]https://sas.kaspersky.com/

Nützliche Links:

• Kaspersky-Analyse „Operation ShadowHammer”: https://securelist.com/operation-shadowhammer/89992/
• Validation Tool „Operation ShadowHammer”: https://shadowhammer.kaspersky.com/
• IT-Sicherheitslösungen von Kaspersky Lab für Unternehmen: https://www.kaspersky.de/enterprise-security

Über Kaspersky Lab

Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das seit über 20 Jahren auf dem Markt tätig ist. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.

Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter https://de.securelist.com/ und auf dem Kaspersky-Blog auf http://blog.kaspersky.de/ abrufbar.

© 2019 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.