ShadowHammer: Neue Details

23 Apr 2019

In unserem letzten Beitrag über ShadowHammer haben wir Ihnen weitere Details versprochen. Obwohl unsere Untersuchung noch immer im Gange ist, möchten unsere Forscher bereits neue Informationen über diesen fortgeschrittenen Supply-Chain-Angriff mit Ihnen teilen.

Ausmaß des Angriffs

Wie bereits zuvor erwähnt, handelte es sich bei ASUS nicht um das einzige Unternehmen, das von den Angreifern ins Visier genommen wurde. Bei der Analyse des Falls sind unsere Experten auf weitere Samples gestoßen, die ähnliche Algorithmen verwendet haben. Wie bereits im Fall ASUS, nutzten diese Samples digital signierte Binärdateien von drei anderen asiatischen Anbietern:

  • Electronics Extreme – Autoren des Zombie-Survival-Horror-Computerspiels Infestation: Survivor Stories;
  • Innovative Extremist – ein Unternehmen, das Web- und IT-Infrastrukturdienste anbietet aber auch im Bereich Spieleentwicklung tätig war;
  • Zepetto – ein südkoreanisches Unternehmen und Entwickler des Videospiels Point Blank.

Unseren Forschern zufolge hatten die Angreifer entweder Zugriff auf den Quellcode der Projekte ihrer Opfer oder sie injizierten Malware zum Zeitpunkt der Projektkompilation. Mit anderen Worten: sie befanden sich innerhalb der Netzwerke der genannten Unternehmen. Das erinnert uns an einen Angriff, von dem wir vor ungefähr einem Jahr berichtet haben: dem CCleaner-Vorfall.

Zudem konnten unsere Experten drei weitere Opfer identifizieren: eine weitere Videospielfirma, eine Mischkonzern-Holding und ein Pharmaunternehmen; alle mit Sitz in Südkorea. Zu diesem Zeitpunkt können wir leider noch keine zusätzlichen Details über die Opfer preisgeben, da wir diese momentan noch über den Angriff in Kenntnis setzen.

Endziele

In den Fällen Electronics Extreme, Innovative Extremist und Zepetto übermittelte kompromittierte Software relativ simple Payload an die Systeme der Opfer. Die Angreifer waren so in der Lage, Informationen über das System zu sammeln; dazu gehörten unter anderem Daten wie Benutzernamen, Computer-Spezifikationen und Betriebssystemversionen. Möglicherweise konnte die kompromittierte Software darüber hinaus auch für den Download bösartiger Nutzdaten von C&C-Servern verwendet werden, sodass die Liste der potenziellen Opfer nicht wie im Fall ASUS lediglich auf eine Liste von MAC-Adressen beschränkt wäre.

In diesem Zusammenhang möchten wir noch einmal erwähnen, dass die Liste der über 600 MAC-Adressen die Zielobjekte keinesfalls auf 600+ beschränkt; denn zu den Zielobjekten gehörte mindestens ein virtueller Ethernet-Adapter, dessen Nutzer alle dieselbe MAC-Adresse teilen.

Weitere technische Details finden Sie in unserem Beitrag auf Securelist.

So werden Sie nicht zum Verbindungsglied bei einem Supply-Chain-Angriff

Es gibt einen roten Faden, der sich durch alle oben genannten Fälle zieht: die Angreifer konnten mithilfe gültiger Zertifikate die Entwicklungsumgebungen ihrer Opfer kompromittieren. Aus diesem Grund empfehlen unsere Experten, dass Softwareanbieter ein ergänzendes Verfahren in ihren Software-Produktionsprozess einführen, das ihre Software zusätzlich auf mögliche Malware-Injektionen überprüft, auch nachdem der Code bereits digital signiert wurde.

Um derartige Angriffe zu verhindern, sind erfahrene „Bedrohungsjäger“ mit ausreichendem Know-how ein absolutes Muss. Mit unserem Service namens Targeted Attack Discovery können Ihnen unsere Experten dabei helfen, aktuelle Cybercrime- und Cyberspionage-Aktivitäten in Ihrem Netzwerk zu identifizieren und die möglichen Ursachen für diese Vorfälle besser zu verstehen. Darüber hinaus bieten wir Ihnen mit Kaspersky Managed Protection eine ständige Überwachung und dauerhafte Analyse von Cyberbedrohungsdaten durch Experten von Kaspersky Lab. Weitere Informationen dazu finden Sie auf unserer Kaspersky-Threat-Hunting-Website.