Supply-Chain-Attacken: Raffinierte Bedrohung mit unbekanntem Ziel

christian funk (foto KasparskyHier eine Meldung über Hackerangriffe, die von pressetext verbreitet wurde. Darin geht es um eine wenig auffällige und ausgeklügelte Bedrohung von Rechnern, die theoretisch fast alle Internetnutzer betreffen kann. Wer aber tatsächlich das Ziel dieser Angriffe ist und aus welchem Grund ist nicht einfach zu erkennen, wie ein Mitarbeiter von Kaspersky (Foto) erklärt.

Infizierte Software

Wien pte/ Bei sogenannten Supply-Chain-Attacken injizieren Hacker ihren Code in Software, noch bevor diese digital signiert über legitime Kanäle in Umlauf kommt. Auf den ersten Blick könnte man meinen, dass so vor allem viele Opfer zu erreichen sind. „Wir haben aber gesehen, dass auch Angriffsakteure aus dem zielgerichteten Bereich diese Methode nutzen“, betont Christian Funk, Head of Global Research & Analysis Team DACH bei Kaspersky bei einem Pressegespräch in Wien. Dabei zeigen sich interessante Verbindungen zwischen verschiedenen Kampagnen.

Operation „Shadowhammer“

2019 hat insbesondere die Operation „Shadowhammer“ für Aufsehen gesorgt. Im Januar ist Usern zunächst aufgefallen, dass sich das vermeintlich legitime Live Update von Asus seltsam verhält. Schnell wurde klar: Über die Asus-Seite selbst waren zeitweise verseuchte Versionen mit Asus-Zertifikat in Umlauf gelangt. Wenngleich dies potenziell Millionen Notebook-User betraf, bestand für die meisten davon aber wohl keine reale Gefahr. Denn die insgesamt 230 Varianten des verseuchten Programms enthielten etwas mehr als 400 MAC-Adressen von Netzwerkadaptern und nur die Geräte mit eben diesen Adressen waren eigentliches Ziel.

Das zeigt auch, wie schwer es auszumachen ist, worum es den Kriminellen bei dem Angriff wirklich geht. Denn die MAC-Adressen sind eine sehr spezifische, aber nur bedingt hilfreiche Information. „Was wir feststellen konnten, waren die Gerätehersteller“, erklärt Funk auf Nachfrage von pressetext. Dazu zählten neben großen Namen wie Asus selbst oder Intel in einigen Fällen auch ungewöhnliche wie VMWare. Wer allerdings im Besitz der jeweiligen Geräte ist, sei nicht leicht nachzuvollziehen – und damit auch nicht, worauf die Angreifer wirklich aus waren.

Angriffs-Verbindungen

Dafür deutet Shadowhammer darauf hin, dass es Verbindungen zwischen verschiedenen Supply-Chain-Angriffen gibt, also die gleichen Akteure dahinter stecken. So gab es Shadowhammer-ähnliche Angriffe bei drei Games-Herstellern, die ihrerseits möglicherweise über einen Supply-Chain-Angriff kompromittiert wurden. Denn alle drei sind Kunden des Connectivy-Solutions-Anbieters NetSarang, dessen Software 2017 von „ShadowPad“ kompromittiert war. Der Angriff übertrug damals Host, Domain und Username eines infizierten Rechners an einen Kontrollserver, der dann entscheiden konnte, ob die eigentliche Malware-Payload wirklich aktiviert wird.

Eine ähnliche Attacke wiederum gab es 2017 auch via dem bekannten Systemoptimierungs-Tool CCleaner. Hier sei laut Mutterunternehmen Avast eben Asus ein Ziel gewesen. Zudem haben Kaspersky-Analysten bei Shadowhammer auch Code-Fragmente gefunden, die exakt einer älteren Malware names „PlugX“ oder „Winnti“ entsprechen. „Es ist davon auszugehen, dass die gleichen Akteure tätig waren oder zumindest eine Splittergruppe“, meint Funk. Wer genau diese Hinterleute sind, ist aber schwierig zu klären.

Unglaublich professionell

Funkt weist ausdrücklich auf die Raffinesse der Angreifer hin. Diese verschleiern ihre Spuren sehr gut. Bei ShadowPad beispielsweise ist kaum nachzuvollziehen, wer die eigentlichen Ziele waren. Denn allenfalls hätten vom Kontrollserver ausgelesene Daten darüber Aufschluss geben können – zumindest, falls der Entscheidungsprozess automatisiert war. Undurchsichtig bleibt somit auch, auf wen es die Hinterleute von Supply-Chain-Agriffen abgesehen haben und worauf sie wirklich aus sind. Die sehr zielgerichtet vorgehenden Akteure hinter Shadowhammer dürften es Funk zufolge wohl auf Daten und Informationen abgesehen haben – doch welche, das ist unklar. „Möglicherweise gibt es kein definitives Endziel, sondern das ist eher heuschreckenartig“, meint er auf Nachfrage von pressetext.

Foto: (c) Kaspersky

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s