Thought Leadership
Die Experten von Kaspersky Lab haben in einem Software-Produkt zum Management von Servern, das weltweit bei Hunderten von Großunternehmen im Einsatz ist, ein Backdoor-Programm entdeckt. Wird dieses aktiviert, können Angreifer damit weitere schädliche Module herunterladen oder Daten stehlen.
Kaspersky Lab hat den Hersteller der betroffenen Software, NetSarang, informiert; daraufhin wurde der Schadcode sofort entfernt und ein Update für Kunden bereitgestellt.
ShadowPad gehört zu den größten, bislang bekannten Supply-Chain-Angriffen. Wäre ShadowPad nicht so schnell entdeckt und gepatched worden, hätten weltweit hunderte Organisationen angegriffen werden können.
Das Global Research and Analysis Team (GReAT) von Kaspersky Lab wurde im Juli 2017 von einem seiner Partner, einer Finanzinstitution, kontaktiert, weil deren Sicherheitsexperten über verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen besorgt waren. Die weitere Untersuchung identifizierte die Server-Management-Software eines seriösen Herstellers als Quelle dieser Anfragen. Das Produkt ist weltweit bei Hunderten von Kunden aus den Branchen Finanzdienstleistung, Bildung und Erziehung, Telekommunikation, Produktion und Transport im Einsatz. Besonders besorgniserregend war allerdings die Tatsache, dass der Hersteller die DNS-Anfragen in seiner Software nicht beabsichtigt hatte.
Tatsächlich konnten die Experten von Kaspersky Lab im Verlauf der Untersuchung als Ursache der Anfragen die Aktivitäten eines schädlichen Moduls ausmachen, das in der aktuellen Version der legitimen Software versteckt war. Nach erfolgreicher Installation hätte es je einmal innerhalb von acht Stunden DNS-Anfragen an bestimmte Domains – seine Command-and-Control (C&C)-Server – gesendet und dabei grundlegende Informationen über das infizierte System wie die Namen von User, Domain und Host weitergegeben. Bei für Angreifer interessanten Systemen hätte der Command Server antworten und eine vollwertige Backdoor-Plattform aktivieren können, welche sich heimlich im angegriffenen Rechner festgesetzt hätte. Das Backdoor wiederum hätte auf Befehl der Angreifer dort weiteren schädlichen Code downloaden und ausführen können.
Nach ihrer Entdeckung informierten die Experten von Kaspersky Lab unverzüglich NetSarang. Das Unternehmen reagierte rasch und veröffentlichte eine aktualisierte, Schadcode-freie Version der Software.
Die Untersuchung von Kaspersky Lab ergab, dass das schädliche Modul bislang in Hongkong aktiviert wurde, es jedoch noch auf zahlreichen weiteren Systemen in aller Welt schlummern könnte, besonders wenn dort nicht bereits die aktualisierte Version der betroffenen Software installiert wurde.
Bei der Analyse der Tools, Techniken und Arbeitsweise der Angreifer haben die Cybersicherheitsexperten gewisse Ähnlichkeiten zu den PlugX-Malware-Varianten der bekannten, chinesischsprachigen Cyberspionage-Gruppe Winnti APT entdeckt. Die Indizien sind jedoch zu schwach, um einen eindeutigen Bezug zu dieser Gruppe herzustellen.
„ShadowPad ist ein Beispiel dafür, wie gefährlich und umfassend ein erfolgreicher Supply-Chain-Angriff sein kann“, erläutert Igor Soumenkov, Security Expert im Global Research and Analysis Team bei Kaspersky Lab. „Die Möglichkeiten bezüglich der Reichweite und der von den Angreifern gesammelten Daten machen es wahrscheinlich, dass so etwas zukünftig immer wieder mit anderen, weit verbreiteten Softwarekomponenten passieren könnte. Glücklicherweise konnte NetSarang nach unseren Hinweis schnell reagieren und ein sauberes Update der Software zur Verfügung stellen. Damit konnten höchstwahrscheinlich viele hundert weitere Angriffe auf NetSarang-Kunden verhindert werden. Der Fall zeigt jedoch, dass alle großen Unternehmen hochentwickelte Lösungen einsetzen sollten, die in der Lage sind, Netzwerkaktivitäten zu beobachten und bestimmte Anomalien zu erkennen; denn damit lassen sich schädliche Aktivitäten auch dann noch entdecken, wenn geschickte Angreifer ihre Malware in regulärer Software verstecken.“
Statement von NetSarang
„Um sich der ständig verändernden Landschaft von Cyberangriffen entgegen zu stellen, nutzt NetSarang verschiedene Methoden und Maßnahmen, um seine Produktlinien vor Kompromittierung, Infektionen und dem Missbrauch durch Cyberspionage-Gruppen zu schützen. Bedauerlicherweise wurde am 18. Juli 2017 die ,Build Release‘ unserer vollständigen Produktlinie ohne unser Wissen mit einem Backdoor ausgeliefert, die deren Entwickler auch hätten nutzen können.“
„Wir legen höchste Priorität auf die Sicherheit unserer Kunden und Anwender und fühlen uns letztlich dafür verantwortlich. Dass Gruppen und Organisationen mit schädlichen Absichten legitime, kommerzielle Software für ihre rechtswidrigen Zwecke zu nutzen versuchen, ist ein wachsendes, besorgniserregendes Phänomen, das von NetSarang sowie weiteren Akteuren der Software-Industrie sehr ernst genommen wird.“
„NetSarang fühlt sich der Wahrung der Privatsphäre seiner Anwender verpflichtet und hat ein noch widerstandsfähigeres System eingeführt, welches sicherstellt, dass sich die Auslieferung eines kompromittierten Produkts nicht wiederholen wird. NetSarang wird weiterhin den Fokus auf Sicherheit legen und diese verbessern. Damit wollen wir nicht nur die Aktivitäten von Cyberspionage-Gruppen in aller Welt bekämpfen, sondern auch das Vertrauen unserer treuen Kundenbasis zurückgewinnen.“
Die Lösungen von Kaspersky Lab erkennen und schützen vor der Malware ShadowPad unter dem Namen „Backdoor.Win32.ShadowPad.a“.
Kaspersky Lab rät allen Anwendern zum sofortigen Update auf die neueste Version der Software von NetSarang, die frei von schädlichen Modulen ist. Außerdem müssen alle Systeme in Hinblick auf DNS-Anfragen an ungewöhnliche Domains überprüft werden.
Weitere Informationen:
Der Securelist-Blogbeitrag listet alle Domainen von Command Servern auf, die von dem Schadmodul genutzt wurden, und liefert weitere Informationen zum Backdoor.
