Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Operation ShadowHammer bedroht eine Millionen Nutzer weltweit

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der Operation „ShadowHammer“ handelt es sich um einen sogenannten Supply-Chain-Angriff. Die Angreifer visierten speziell Anwender des Programms ASUS Live Update Utility an. Hierfür wurde mindestens zwischen Juni und November 2018 ein Backdoor-Programm in das Update-Programm injiziert. Die Experten von Kaspersky Lab schätzen, dass weltweit mehr als eine Million Nutzer davon betroffen waren.

Supply-Chain-Angriffe gehören zu den gefährlichsten und wirksamsten Infektionsmethoden und kamen in den vergangenen Jahren zunehmend bei fortschrittlichen Cyberangriffen zum Einsatz. Sie zielen auf bestimmte Schwächen innerhalb vernetzter Systeme ab, bei denen menschliche, organisatorische und materielle Ressourcen an einem Produktlebenszyklus beteiligt sind. Das Problem: Auch wenn die Infrastruktur eines Anbieters sicher ist, existieren möglicherweise Schwachstellen in den Systemen der Partner und Dienstleister, 

über die eine Lieferkette sabotiert werden kann – mit schwerwiegenden Konsequenzen, wie unerwartetem und verheerendem Datenverlust.

Die Hintermänner von ShadowHammer hatten es anfangs auf einen Angriffsvektor via ASUS Live Update Utility abgesehen. Hierbei handelt es sich um ein auf den meisten neuen ASUS-Computern vorinstalliertes Dienstprogramm, das für automatische BIOS-, UEFI-, Treiber- und Anwendungs-Updates zuständig ist. Mit gestohlenen digitalen Zertifikaten, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, konnten die Angreifer ältere Versionen der ASUS-Software manipulieren und ihren eigenen bösartigen Code injizieren. Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar.

Auch wenn dies bedeutet, dass potenziell jeder Nutzer der betroffenen Software zum Opfer hätte werden können, konzentrierten sich die Akteure hinter ShadowHammer darauf, gezielt Zugang zu mehreren hundert Anwendern zu erlangen, die sie bereits im Visier hatten. Wie die Kaspersky-Experten herausfanden, enthielten die Backdoor-Codes eine Tabelle mit fest kodierten MAC-Adressen – die eindeutig identifizierbare Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird.

Sobald das Backdoor auf dem Gerät eines Opfers ausgeführt wurde, glich es die MAC-Adresse mit der Tabelle ab. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter. Im gegenteiligen Fall zeigte das infiltrierte Update-Programm keine Netzwerkaktivität, weshalb es so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten mehr als 600 betroffene MAC-Adressen identifizieren. Auf die Opfersysteme zielten insgesamt über 230 einzigartige Backdoor-Samples mit unterschiedlichen Shellcodes ab.

„Die betroffenen Anbieter sind äußerst attraktive Ziele für APT-Gruppen, die von deren großem Kundenstamm profitieren wollen“, sagt Vitaly Kamluk, Director of Global Research and Analysis Team, APAC, bei Kaspersky Lab. „Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war, und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausführung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenhängt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorfällen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie komplex und gefährlich ein raffinierter Supply-Chain-Angriff heute sein kann.“

Sicherheitsmaßnahmen für Unternehmen

Um nicht Opfer eines gezielten Angriffs eines bekannten oder unbekannten Bedrohungsakteurs zu werden, empfehlen die Experten von Kaspersky Lab Unternehmen und Organisationen die folgenden Maßnahmen:

 

  • Neben Endpoint-Schutz bietet eine unternehmensweite Sicherheitslösung, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, zusätzlichen Schutz.
  • Bei der Erkennung, Untersuchung und rechtzeitigen Behebung von Sicherheitsvorfällen unterstützen EDR-Lösungen oder externe Incident Response Teams.
  • Zudem ermöglicht die Integration von Threat-Intelligence-Feeds im eigenen SIEM-Programm (Security Information and Event Management) und andere Sicherheitskontroll-Tools Zugriff auf die relevantesten und aktuellsten Bedrohungsdaten.

 

Kaspersky Lab wird die vollständigen Ergebnisse der Operation ShadowHammer auf dem Security Analyst Summit 2019 vom 9. bis 11. April in Singapur vorstellen. Ein Blog, der den Angriff zusammenfasst, sowie ein spezielles Tool zur Überprüfung, ob die Geräte der Benutzer ein Ziel waren, ist unter https://securelist.com/operation-shadowhammer/89992/ verfügbar.


Digitale Signatur auf einem trojanisierten ASUS Live Update Setup-Installer.

Quelle: Kaspersky

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland