Fake-Softwareupdates: Cyberspione verteilen Malware über manipulierten DNS-Traffic
Sicherheitsforscher von Eset warnen vor einer bisher unbekannten Malware namens Edgestepper, mit der chinesische Cyberspione Router infiltrieren und anschließend DNS-Traffic manipulieren, um weitere Schadsoftware zu verbreiten. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklären, wird dafür gezielt mit Softwareupdates verbundener Datenverkehr auf die Systeme der Angreifer umgeleitet.
Hinter den beobachteten Angriffen steckt den Angaben zufolge eine chinesische APT-Gruppe ( Advanced Persistent Threat(öffnet im neuen Fenster) ) namens Plushdaemon. Diese ist laut Eset schon mindestens seit 2018 aktiv und an Spionageoperationen gegen Organisationen in China, Taiwan, Hongkong, Kambodscha, Südkorea, den Vereinigten Staaten und Neuseeland beteiligt.
Wenn Google plötzlich nicht mehr Google ist
Bei den von den Forschern untersuchten Angriffen infiltrierte Plushdaemon zunächst Netzwerkgeräte wie beispielsweise Router. Um dieses Ziel zu erreichen, nutzte die Gruppe vermutlich Sicherheitslücken oder schwache oder geleakte Admin-Zugangsdaten aus. Anschließend wurde auf dem jeweiligen Gerät die Edgestepper-Malware installiert.
Aufgabe der Malware war es daraufhin, DNS-Traffic umzuleiten. In der Regel beantwortet ein Router DNS-Anfragen von Geräten innerhalb eines lokalen Netzwerks selbst oder fragt ihm unbekannte Webadressen bei einem öffentlichen DNS-Server ab. Vorkonfiguriert ist meist ein Server des jeweiligen Internetanbieters. Edgestepper leitet diesen Traffic aber an einen DNS-Server der Angreifer um.
Heißt also: Ein Aufruf von google.com führt im Falle eines infizierten Routers möglicherweise nicht mehr zur echten Webseite von Google, sondern zu einer gefälschten und vom Angreifer kontrollierten Seite. Auch Softwareupdates werden normalerweise über eine Domain des jeweiligen Anbieters bezogen. Und diesen Umstand macht sich Plushdaemon mit Edgestepper zunutze, um manipulierte Updates zu verteilen.
Backdoor im Gewand eines Updates
Die Eset-Forscher veranschaulichen den Angriff in ihrem Bericht am Beispiel einer chinesischen Software namens Sogou Pinyin, betonen aber, dass sich die Update-Mechanismen anderer Tools auf gleiche Weise missbrauchen lassen.
Durch Umleitung des DNS-Traffics hat Plushdaemon auf Windows-Geräten, die über einen mit Edgestepper infizierten Router mit dem Internet verbunden waren, im Rahmen einer mehrstufigen Infektionskette eine Backdoor namens Slowstepper nachgeladen. Diese verschaffte den Angreifern schließlich weitreichende Zugriffsmöglichkeiten aus der Ferne.
Administratoren, die ihre Systeme vor entsprechenden Angriffen schützen wollen, sollten auf eine sichere Router-Konfiguration achten, die darauf befindliche Firmware stets aktuell halten und achtsam mit zugehörigen Anmeldeinformationen umgehen. Ein paar nützliche Kompromittierungsindikatoren zu der beobachteten Angriffskampagne hat Eset auf Github veröffentlicht(öffnet im neuen Fenster) .
Eine andere chinesische Hackergruppe namens Stormbamboo wurde schon bei ähnlichen Angriffen beobachtet . Diese nutzte zur Manipulation des DNS-Traffics allerdings keine kompromittierten Router, sondern drang dafür direkt in Systeme eines Internetdienstanbieters ein.