SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

HackerDie Experten von Kaspersky Lab haben in einem Software-Produkt zum Management von Servern, das weltweit bei Hunderten von Großunternehmen im Einsatz ist, ein Backdoor-Programm entdeckt. Wird dieses aktiviert, können Angreifer damit weitere schädliche Module herunterladen oder Daten stehlen.

Kaspersky Lab hat den Hersteller der betroffenen Software, NetSarang, informiert; daraufhin wurde der Schadcode sofort entfernt und ein Update für Kunden bereitgestellt.

ShadowPad gehört zu den größten, bislang bekannten Supply-Chain-Angriffen. Wäre ShadowPad nicht so schnell entdeckt und gepatched worden, hätten weltweit hunderte Organisationen angegriffen werden können.

Das Global Research and Analysis Team (GReAT) von Kaspersky Lab wurde im Juli 2017 von einem seiner Partner, einer Finanzinstitution, kontaktiert, weil deren Sicherheitsexperten über verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen besorgt waren. Die weitere Untersuchung identifizierte die Server-Management-Software eines seriösen Herstellers als Quelle dieser Anfragen. Das Produkt ist weltweit bei Hunderten von Kunden aus den Branchen Finanzdienstleistung, Bildung und Erziehung, Telekommunikation, Produktion und Transport im Einsatz. Besonders besorgniserregend war allerdings die Tatsache, dass der Hersteller die DNS-Anfragen in seiner Software nicht beabsichtigt hatte.

Tatsächlich konnten die Experten von Kaspersky Lab im Verlauf der Untersuchung als Ursache der Anfragen die Aktivitäten eines schädlichen Moduls ausmachen, das in der aktuellen Version der legitimen Software versteckt war. Nach erfolgreicher Installation hätte es je einmal innerhalb von acht Stunden DNS-Anfragen an bestimmte Domains – seine Command-and-Control (C&C)-Server – gesendet und dabei grundlegende Informationen über das infizierte System wie die Namen von User, Domain und Host weitergegeben. Bei für Angreifer interessanten Systemen hätte der Command Server antworten und eine vollwertige Backdoor-Plattform aktivieren können, welche sich heimlich im angegriffenen Rechner festgesetzt hätte. Das Backdoor wiederum hätte auf Befehl der Angreifer dort weiteren schädlichen Code downloaden und ausführen können.

Nach ihrer Entdeckung informierten die Experten von Kaspersky Lab unverzüglich NetSarang. Das Unternehmen reagierte rasch und veröffentlichte eine aktualisierte, Schadcode-freie Version der Software.

Die Untersuchung von Kaspersky Lab ergab, dass das schädliche Modul bislang in Hongkong aktiviert wurde, es jedoch noch auf zahlreichen weiteren Systemen in aller Welt schlummern könnte, besonders wenn dort nicht bereits die aktualisierte Version der betroffenen Software installiert wurde.

Bei der Analyse der Tools, Techniken und Arbeitsweise der Angreifer haben die Cybersicherheitsexperten gewisse Ähnlichkeiten zu den PlugX-Malware-Varianten der bekannten, chinesischsprachigen Cyberspionage-Gruppe Winnti APT entdeckt. Die Indizien sind jedoch zu schwach, um einen eindeutigen Bezug zu dieser Gruppe herzustellen.

„ShadowPad ist ein Beispiel dafür, wie gefährlich und umfassend ein erfolgreicher Supply-Chain-Angriff sein kann“, erläutert Igor Soumenkov, Security Expert im Global Research and Analysis Team bei Kaspersky Lab. „Die Möglichkeiten bezüglich der Reichweite und der von den Angreifern gesammelten Daten machen es wahrscheinlich, dass so etwas zukünftig immer wieder mit anderen, weit verbreiteten Softwarekomponenten passieren könnte. Glücklicherweise konnte NetSarang nach unseren Hinweis schnell reagieren und ein sauberes Update der Software zur Verfügung stellen. Damit konnten höchstwahrscheinlich viele hundert weitere Angriffe auf NetSarang-Kunden verhindert werden. Der Fall zeigt jedoch, dass alle großen Unternehmen hochentwickelte Lösungen einsetzen sollten, die in der Lage sind, Netzwerkaktivitäten zu beobachten und bestimmte Anomalien zu erkennen; denn damit lassen sich schädliche Aktivitäten auch dann noch entdecken, wenn geschickte Angreifer ihre Malware in regulärer Software verstecken.“

Statement von NetSarang

„Um sich der ständig verändernden Landschaft von Cyberangriffen entgegen zu stellen, nutzt NetSarang verschiedene Methoden und Maßnahmen, um seine Produktlinien vor Kompromittierung, Infektionen und dem Missbrauch durch Cyberspionage-Gruppen zu schützen. Bedauerlicherweise wurde am 18. Juli 2017 die ,Build Release‘ unserer vollständigen Produktlinie ohne unser Wissen mit einem Backdoor ausgeliefert, die deren Entwickler auch hätten nutzen können.“

„Wir legen höchste Priorität auf die Sicherheit unserer Kunden und Anwender und fühlen uns letztlich dafür verantwortlich. Dass Gruppen und Organisationen mit schädlichen Absichten legitime, kommerzielle Software für ihre rechtswidrigen Zwecke zu nutzen versuchen, ist ein wachsendes, besorgniserregendes Phänomen, das von NetSarang sowie weiteren Akteuren der Software-Industrie sehr ernst genommen wird.“

„NetSarang fühlt sich der Wahrung der Privatsphäre seiner Anwender verpflichtet und hat ein noch widerstandsfähigeres System eingeführt, welches sicherstellt, dass sich die Auslieferung eines kompromittierten Produkts nicht wiederholen wird. NetSarang wird weiterhin den Fokus auf Sicherheit legen und diese verbessern. Damit wollen wir nicht nur die Aktivitäten von Cyberspionage-Gruppen in aller Welt bekämpfen, sondern auch das Vertrauen unserer treuen Kundenbasis zurückgewinnen.“

Die Lösungen von Kaspersky Lab erkennen und schützen vor der Malware ShadowPad unter dem Namen „Backdoor.Win32.ShadowPad.a“.

Kaspersky Lab rät allen Anwendern zum sofortigen Update auf die neueste Version der Software von NetSarang, die frei von schädlichen Modulen ist. Außerdem müssen alle Systeme in Hinblick auf DNS-Anfragen an ungewöhnliche Domains überprüft werden.

Weitere Informationen:

Der Securelist-Blogbeitrag listet alle Domainen von Command Servern auf, die von dem Schadmodul genutzt wurden, und liefert weitere Informationen zum Backdoor.

www.kaspersky.com
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet