Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Mann und Schatten von Hammer

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der Operation ,ShadowHammer‘ handelt es sich um einen sogenannten Supply-Chain-Angriff. Die Angreifer visierten speziell Anwender des Programms ASUS Live Update Utility an.

Hierfür wurde mindestens zwischen Juni und November 2018 ein Backdoor-Programm in das Update-Programm injiziert. Die Experten von Kaspersky Lab schätzen, dass weltweit mehr als eine Million Nutzer davon betroffen waren.

Supply-Chain-Angriffe gehören zu den gefährlichsten und wirksamsten Infektionsmethoden und kamen in den vergangenen Jahren zunehmend bei fortschrittlichen Cyberangriffen zum Einsatz, zum Beispiel bei ,ShadowPad‘ oder ,CCleaner‘. Sie zielen auf bestimmte Schwächen innerhalb vernetzter Systeme ab, bei denen menschliche, organisatorische und materielle Ressourcen an einem Produktlebenszyklus beteiligt sind: von der ersten Entwicklungsphase bis hin zum Endnutzer. Das Problem: Auch wenn die Infrastruktur eines Anbieters sicher ist, existieren möglicherweise Schwachstellen in den Systemen der Partner und Dienstleister, über die eine Lieferkette sabotiert werden kann – mit schwerwiegenden Konsequenzen, wie unerwartetem und verheerendem Datenverlust.

Die Hintermänner von ShadowHammer hatten es anfangs auf einen Angriffsvektor via ASUS Live Update Utility abgesehen. Hierbei handelt es sich um ein auf den meisten neuen ASUS-Computern vorinstalliertes Dienstprogramm, das für automatische BIOS-, UEFI-, Treiber- und Anwendungs-Updates zuständig ist. Mit gestohlenen digitalen Zertifikaten, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, konnten die Angreifer ältere Versionen der ASUS-Software manipulieren und ihren eigenen bösartigen Code injizieren. Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar.

Auch wenn dies bedeutet, dass potenziell jeder Nutzer der betroffenen Software zum Opfer hätte werden können, konzentrierten sich die Akteure hinter ShadowHammer darauf, gezielt Zugang zu mehreren hundert Anwendern zu erlangen, die sie bereits im Visier hatten.

ShadowHammer operiert zielgerichtet und versteckt

Wie die Kaspersky-Experten herausfanden, enthielten die Backdoor-Codes eine Tabelle mit fest kodierten MAC-Adressen – die eindeutig identifizierbare Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird.

Sobald das Backdoor auf dem Gerät eines Opfers ausgeführt wurde, glich es die MAC-Adresse mit der Tabelle ab. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter. Im gegenteiligen Fall zeigte das infiltrierte Update-Programm keine Netzwerkaktivität, weshalb es so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten mehr als 600 betroffene MAC-Adressen identifizieren. Auf die Opfersysteme zielten insgesamt über 230 einzigartige Backdoor-Samples mit unterschiedlichen Shellcodes ab.

Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Code-Ausführung, um versehentlichem Code- oder Datenverlust vorzubeugen, deuten darauf hin, dass es den hinter diesem komplexen Angriff stehenden Akteuren sehr wichtig war, unentdeckt zu bleiben und gleichzeitig einige sehr spezifische Ziele mit extremer Präzision ins Visier zu nehmen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand innerhalb der Gruppe widerspiegelt.

Bei der Suche nach ähnlicher Malware sind die Experten auf Software drei weiterer Anbieter in Asien gestoßen, die alle mit sehr ähnlichen Methoden und Techniken ausgestattet sind. Kaspersky Lab hat Asus und die anderen Anbieter darüber in Kenntnis gesetzt.

„Die betroffenen Anbieter sind äußerst attraktive Ziele für APT-Gruppen, die von deren großem Kundenstamm profitieren wollen“, sagt Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab. „Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausführung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenhängt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorfällen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie komplex und gefährlich ein raffinierter Supply-Chain-Angriff heute sein kann.“

Sicherheitsmaßnahmen für Unternehmen

Um nicht Opfer eines gezielten Angriffs eines bekannten oder unbekannten Bedrohungsakteurs zu werden, empfehlen die Experten von Kaspersky Lab Unternehmen und Organisationen die folgenden Maßnahmen:

  • Neben Endpoint-Schutz bietet eine unternehmensweite Sicherheitslösung, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie beispielsweise die Kaspersky Anti Targeted Attack Platform zusätzlichen Schutz.
     
  • Bei der Erkennung, Untersuchung und rechtzeitigen Behebung von Sicherheitsvorfällen unterstützen EDR-Lösungen wie Kaspersky Endpoint Detection and Response oder externe Incident Response Teams.
     
  • Zudem ermöglicht die Integration von Threat-Intelligence-Feeds im eigenen SIEM-Programm (Security Information and Event Management) und andere Sicherheitskontroll-Tools Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten.

Weitere Informationen:

  • Kaspersky Lab wird die vollständigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen.
     
  • Ein vollständiger Bericht über die ShadowHammer-Kampagne ist bereits für Kunden des Kaspersky Intelligence Reporting Service verfügbar.
     
  • Ein Blog, der den Angriff zusammenfasst, sowie ein spezielles Tool zur Überprüfung, ob die Geräte der Benutzer ein Ziel waren, ist hier verfügbar. Wer prüfen möchte, ob er von der Gefahr betroffen ist, kann dies unter https://shadowhammer.kaspersky.com/ tun.

www.kaspersky,com/de
 

GRID LIST
DDOS Attack

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und…
Marc Schieder

Patientendaten jahrelang einsehbar: Ein Warnschuss für den Healthcare-Bereich?

Laut Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica…
KI Cybersecurity

KI in der Cybersicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark…
Malware

Malware im August 2019 – König Emotet gestürzt

Check Point Research bestätigt mit dem Global Threat Index für August 2019 die Ergebnisse…
Passwörter

Sichere Passwörter – so geht’s

E-Mail-Postfächer, Soziale Netzwerke oder Online-Shops - für jedes Konto benötigen wir…
QR Code

Braucht die beliebte Pixel-Matrix ein neues Sicherheitskonzept?

QR-Codes gibt es seit 1994, doch ihr Entwickler ist besorgt und der Meinung, dass sie ein…