{"id":19084,"date":"2019-04-23T15:02:39","date_gmt":"2019-04-23T13:02:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19084"},"modified":"2019-11-22T12:06:59","modified_gmt":"2019-11-22T10:06:59","slug":"details-shadow-hammer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/details-shadow-hammer\/19084\/","title":{"rendered":"ShadowHammer: Neue Details"},"content":{"rendered":"<p>In unserem <a href=\"https:\/\/www.kaspersky.de\/blog\/shadow-hammer-teaser\/18832\/\" target=\"_blank\" rel=\"noopener\">letzten Beitrag \u00fcber ShadowHammer<\/a> haben wir Ihnen weitere Details versprochen. Obwohl unsere Untersuchung noch immer im Gange ist, m\u00f6chten unsere Forscher bereits neue Informationen \u00fcber diesen fortgeschrittenen Supply-Chain-Angriff mit Ihnen teilen.<\/p>\n<h2>Ausma\u00df des Angriffs<\/h2>\n<p>Wie bereits zuvor erw\u00e4hnt, handelte es sich bei ASUS nicht um das einzige Unternehmen, das von den Angreifern ins Visier genommen wurde. Bei der Analyse des Falls sind unsere Experten auf weitere Samples gesto\u00dfen, die \u00e4hnliche Algorithmen verwendet haben. Wie bereits im Fall ASUS, nutzten diese Samples digital signierte Bin\u00e4rdateien von drei anderen asiatischen Anbietern:<\/p>\n<ul>\n<li>Electronics Extreme \u2013 Autoren des Zombie-Survival-Horror-Computerspiels <em>Infestation: Survivor Stories;<\/em><\/li>\n<li>Innovative Extremist \u2013 ein Unternehmen, das Web- und IT-Infrastrukturdienste anbietet aber auch im Bereich Spieleentwicklung t\u00e4tig war;<\/li>\n<li>Zepetto \u2013 ein s\u00fcdkoreanisches Unternehmen und Entwickler des Videospiels <em>Point Blank<\/em>.<\/li>\n<\/ul>\n<p>Unseren Forschern zufolge hatten die Angreifer entweder Zugriff auf den Quellcode der Projekte ihrer Opfer oder sie injizierten Malware zum Zeitpunkt der Projektkompilation. Mit anderen Worten: sie befanden sich innerhalb der Netzwerke der genannten Unternehmen. Das erinnert uns an einen Angriff, von dem wir vor ungef\u00e4hr einem Jahr berichtet haben: dem <a href=\"https:\/\/www.kaspersky.com\/blog\/ccleaner-supply-chain\/21785\/\" target=\"_blank\" rel=\"noopener nofollow\">CCleaner-Vorfall<\/a>.<\/p>\n<p>Zudem konnten unsere Experten drei weitere Opfer identifizieren: eine weitere Videospielfirma, eine Mischkonzern-Holding und ein Pharmaunternehmen; alle mit Sitz in S\u00fcdkorea. Zu diesem Zeitpunkt k\u00f6nnen wir leider noch keine zus\u00e4tzlichen Details \u00fcber die Opfer preisgeben, da wir diese momentan noch \u00fcber den Angriff in Kenntnis setzen.<\/p>\n<h2>Endziele<\/h2>\n<p>In den F\u00e4llen Electronics Extreme, Innovative Extremist und Zepetto \u00fcbermittelte kompromittierte Software relativ simple Payload an die Systeme der Opfer. Die Angreifer waren so in der Lage, Informationen \u00fcber das System zu sammeln; dazu geh\u00f6rten unter anderem Daten wie Benutzernamen, Computer-Spezifikationen und Betriebssystemversionen. M\u00f6glicherweise konnte die kompromittierte Software dar\u00fcber hinaus auch f\u00fcr den Download b\u00f6sartiger Nutzdaten von C&amp;C-Servern verwendet werden, sodass die Liste der potenziellen Opfer nicht wie im Fall ASUS lediglich auf eine Liste von MAC-Adressen beschr\u00e4nkt w\u00e4re.<\/p>\n<p>In diesem Zusammenhang m\u00f6chten wir noch einmal erw\u00e4hnen, dass die Liste der \u00fcber 600 MAC-Adressen die Zielobjekte keinesfalls auf 600+ beschr\u00e4nkt; denn zu den Zielobjekten geh\u00f6rte mindestens ein virtueller Ethernet-Adapter, dessen Nutzer alle dieselbe MAC-Adresse teilen.<\/p>\n<p>Weitere technische Details finden Sie in unserem<a href=\"https:\/\/securelist.com\/operation-shadowhammer-a-high-profile-supply-chain-attack\/90380\/\" target=\"_blank\" rel=\"noopener\"> Beitrag auf Securelist.<\/a><\/p>\n<h2>So werden Sie nicht zum Verbindungsglied bei einem Supply-Chain-Angriff<\/h2>\n<p>Es gibt einen roten Faden, der sich durch alle oben genannten F\u00e4lle zieht: die Angreifer konnten mithilfe g\u00fcltiger Zertifikate die Entwicklungsumgebungen ihrer Opfer kompromittieren. Aus diesem Grund empfehlen unsere Experten, dass Softwareanbieter ein erg\u00e4nzendes Verfahren in ihren Software-Produktionsprozess einf\u00fchren, das ihre Software zus\u00e4tzlich auf m\u00f6gliche Malware-Injektionen \u00fcberpr\u00fcft, auch nachdem der Code bereits digital signiert wurde.<\/p>\n<p>Um derartige Angriffe zu verhindern, sind erfahrene \u201eBedrohungsj\u00e4ger\u201c mit ausreichendem Know-how ein absolutes Muss. Mit unserem Service namens Targeted Attack Discovery k\u00f6nnen Ihnen unsere Experten dabei helfen, aktuelle Cybercrime- und Cyberspionage-Aktivit\u00e4ten in Ihrem Netzwerk zu identifizieren und die m\u00f6glichen Ursachen f\u00fcr diese Vorf\u00e4lle besser zu verstehen. Dar\u00fcber hinaus bieten wir Ihnen mit Kaspersky Managed Protection eine st\u00e4ndige \u00dcberwachung und dauerhafte Analyse von Cyberbedrohungsdaten durch Experten von Kaspersky Lab. Weitere Informationen dazu finden Sie auf unserer <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/threat-hunting\" target=\"_blank\" rel=\"noopener\">Kaspersky-Threat-Hunting-Website<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der ASUS-Vorfall war scheinbar nur ein Teil der gro\u00dfangelegten Kampagne.<\/p>\n","protected":false},"author":40,"featured_media":19086,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[3252,1332,3253,2967,1012],"class_list":{"0":"post-19084","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2019","10":"tag-sas","11":"tag-sas-2019","12":"tag-supply-chain","13":"tag-updates"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/details-shadow-hammer\/19084\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/details-shadow-hammer\/15663\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/details-shadow-hammer\/13200\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/details-shadow-hammer\/17576\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/details-shadow-hammer\/15722\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/details-shadow-hammer\/14435\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/details-shadow-hammer\/18309\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/details-shadow-hammer\/17225\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/details-shadow-hammer\/22657\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/details-shadow-hammer\/5914\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/details-shadow-hammer\/26597\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/details-shadow-hammer\/11697\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/details-shadow-hammer\/10633\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/details-shadow-hammer\/23118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/details-shadow-hammer\/18313\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/details-shadow-hammer\/22506\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/details-shadow-hammer\/22443\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/thesas2019\/","name":"#theSAS2019"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19084"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19084\/revisions"}],"predecessor-version":[{"id":20854,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19084\/revisions\/20854"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19086"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}