Gefährlicher Supply-Chain-Angriff

Operation ShadowHammer bedroht eine Millionen Nutzer weltweit

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der Operation ,ShadowHammer‘ handelt es sich um einen sogenannten Supply-Chain-Angriff. Die Angreifer visierten speziell Anwender des Programms ASUS Live Update Utility an.

Hierfür wurde mindestens zwischen Juni und November 2018 ein Backdoor-Programm in das Update-Programm injiziert. Die Experten von Kaspersky Lab schätzen, dass weltweit mehr als eine Million Nutzer davon betroffen waren.

Anzeige

Supply-Chain-Angriffe gehören zu den gefährlichsten und wirksamsten Infektionsmethoden und kamen in den vergangenen Jahren zunehmend bei fortschrittlichen Cyberangriffen zum Einsatz, zum Beispiel bei ,ShadowPad‘ oder ,CCleaner‘. Sie zielen auf bestimmte Schwächen innerhalb vernetzter Systeme ab, bei denen menschliche, organisatorische und materielle Ressourcen an einem Produktlebenszyklus beteiligt sind: von der ersten Entwicklungsphase bis hin zum Endnutzer. Das Problem: Auch wenn die Infrastruktur eines Anbieters sicher ist, existieren möglicherweise Schwachstellen in den Systemen der Partner und Dienstleister, über die eine Lieferkette sabotiert werden kann – mit schwerwiegenden Konsequenzen, wie unerwartetem und verheerendem Datenverlust.

Die Hintermänner von ShadowHammer hatten es anfangs auf einen Angriffsvektor via ASUS Live Update Utility abgesehen. Hierbei handelt es sich um ein auf den meisten neuen ASUS-Computern vorinstalliertes Dienstprogramm, das für automatische BIOS-, UEFI-, Treiber- und Anwendungs-Updates zuständig ist. Mit gestohlenen digitalen Zertifikaten, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, konnten die Angreifer ältere Versionen der ASUS-Software manipulieren und ihren eigenen bösartigen Code injizieren. Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar.

Auch wenn dies bedeutet, dass potenziell jeder Nutzer der betroffenen Software zum Opfer hätte werden können, konzentrierten sich die Akteure hinter ShadowHammer darauf, gezielt Zugang zu mehreren hundert Anwendern zu erlangen, die sie bereits im Visier hatten.

ShadowHammer operiert zielgerichtet und versteckt

Wie die Kaspersky-Experten herausfanden, enthielten die Backdoor-Codes eine Tabelle mit fest kodierten MAC-Adressen – die eindeutig identifizierbare Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird.

Sobald das Backdoor auf dem Gerät eines Opfers ausgeführt wurde, glich es die MAC-Adresse mit der Tabelle ab. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter. Im gegenteiligen Fall zeigte das infiltrierte Update-Programm keine Netzwerkaktivität, weshalb es so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten mehr als 600 betroffene MAC-Adressen identifizieren. Auf die Opfersysteme zielten insgesamt über 230 einzigartige Backdoor-Samples mit unterschiedlichen Shellcodes ab.

Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Code-Ausführung, um versehentlichem Code- oder Datenverlust vorzubeugen, deuten darauf hin, dass es den hinter diesem komplexen Angriff stehenden Akteuren sehr wichtig war, unentdeckt zu bleiben und gleichzeitig einige sehr spezifische Ziele mit extremer Präzision ins Visier zu nehmen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand innerhalb der Gruppe widerspiegelt.

Bei der Suche nach ähnlicher Malware sind die Experten auf Software drei weiterer Anbieter in Asien gestoßen, die alle mit sehr ähnlichen Methoden und Techniken ausgestattet sind. Kaspersky Lab hat Asus und die anderen Anbieter darüber in Kenntnis gesetzt.

„Die betroffenen Anbieter sind äußerst attraktive Ziele für APT-Gruppen, die von deren großem Kundenstamm profitieren wollen“, sagt Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab. „Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausführung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenhängt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorfällen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie komplex und gefährlich ein raffinierter Supply-Chain-Angriff heute sein kann.“

Sicherheitsmaßnahmen für Unternehmen

Um nicht Opfer eines gezielten Angriffs eines bekannten oder unbekannten Bedrohungsakteurs zu werden, empfehlen die Experten von Kaspersky Lab Unternehmen und Organisationen die folgenden Maßnahmen:

  • Neben Endpoint-Schutz bietet eine unternehmensweite Sicherheitslösung, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie beispielsweise die Kaspersky Anti Targeted Attack Platform zusätzlichen Schutz.
     
  • Bei der Erkennung, Untersuchung und rechtzeitigen Behebung von Sicherheitsvorfällen unterstützen EDR-Lösungen wie Kaspersky Endpoint Detection and Response oder externe Incident Response Teams.
     
  • Zudem ermöglicht die Integration von Threat-Intelligence-Feeds im eigenen SIEM-Programm (Security Information and Event Management) und andere Sicherheitskontroll-Tools Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten.

Weitere Informationen:

  • Kaspersky Lab wird die vollständigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen.
     
  • Ein vollständiger Bericht über die ShadowHammer-Kampagne ist bereits für Kunden des Kaspersky Intelligence Reporting Service verfügbar.
     
  • Ein Blog, der den Angriff zusammenfasst, sowie ein spezielles Tool zur Überprüfung, ob die Geräte der Benutzer ein Ziel waren, ist hier verfügbar. Wer prüfen möchte, ob er von der Gefahr betroffen ist, kann dies unter https://shadowhammer.kaspersky.com/ tun.

www.kaspersky,com/de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.