Abo
  • IT-Karriere:

Nach Angriff auf Asus: Sechs weitere Firmen verteilen signierte Schadsoftware

Neben Asus sind sechs weitere Firmen aus dem asiatischen Raum von Angriffen der Shadowhammer-Gruppe betroffen. Auch hier wurde die Schadsoftware mit den echten Zertifikaten der Softwarehersteller signiert. Der Trojaner wird nur unter bestimmten Bedingungen aktiv.

Artikel veröffentlicht am ,
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen.
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen. (Bild: StoryTolley/Pixabay)

Die Sicherheitsfirma Kaspersky Lab hat sechs weitere Firmen entdeckt, die von der Operation Shadowhammer betroffen sind. Es handelt sich vor allem um Spielehersteller aus dem asiatischen Raum. Wie bei dem bereits im März bekanntgewordenen Angriff auf Asus wurde auch hier Schadsoftware im Namen der Firmen verteilt, die mit deren Originalzertifikaten signiert wurde. Über die Signaturen soll eigentlich sichergestellt werden, dass die Software autorisiert und nicht verändert wurde.

Stellenmarkt
  1. IAV GmbH, Berlin, München, Gifhorn, Chemnitz
  2. Computacenter AG & Co. oHG, verschiedene Standorte

Einer der betroffenen asiatischen Spielehersteller ist die südkoreanische Firma Zepetto, die den Shooter Pointblank vertreibt. Neben diesem wurde auch das postapokalyptische Zombie-Spiel Infestation: Survivor Stories trojanisiert. Dieses wird von den asiatischen Spieleherstellern Electronics Extreme und Innovative Extremist vertrieben, die beide von der Operation Shadowhammer betroffen waren. Einen vierten Spielehersteller sowie eine Holdinggesellschaft und eine Pharmafirma aus Südkorea wurden von Kaspersky nicht namentlich genannt. Diese würden derzeit über die Vorfälle informiert, sagt Kaspersky.

Trojaner kann sich selbst deaktivieren

Wird eine trojanisierte Version eines Spiels oder einer Software durch einen Nutzer geöffnet, überprüft der Trojaner das System. Entdeckt er, dass bestimmte System-Monitoring-Tools laufen oder die Systemsprache Chinesisch oder Russisch ist, beendet sich der Trojaner automatisch. Ist das nicht der Fall, sammelt er Systeminformationen wie die Mac-Adresse, den Nutzernamen, die Windows-Version, Prozessorarchitektur, Systemsprache oder die IP-Adresse. Die Informationen schickt der Trojaner anschließend an einen Command-and-Control-Server und fragt weitere Befehle ab. Beispielsweise könnten weitere Dateien heruntergeladen und ausgeführt oder der Trojaner deaktiviert werden.

Softwareentwickler aufgepasst

Anders als bei dem Angriff auf Asus, bei welchem die Binärdateien mit dem Schadcode gepatcht wurden, wurde die Schadsoftware bei den neuen Fällen nahtlos in den Quellcode von kürzlich kompilierten Programmen integriert. Hierzu sei die Entwicklungsumgebung Microsoft Visual Studio der Programmierer trojanisiert worden. Wie die entsprechende Schadsoftware auf die Rechner gelangt ist, wisse Kaspersky nicht.

Softwareentwickler sollten daher aufpassen, aus welchen Quellen sie ihre Entwicklungsumgebung installieren und die Integrität der Installation überprüfen, meint Kaspersky. "Softwarehersteller sollten ein weiteres Kontroll-Instrument im Buildingprozess der Software einführen, das ihre Software auf potenzielle Injektionen von Schadsoftware überprüft - selbst wenn der Code danach digital signiert wird." Die Angriffe beschädigten zwar das Vertrauen in die Sicherheit von digitalen Signaturen - selbst bei großen Herstellern wie Asus -, dennoch sollte weiterhin auf das Instrument gesetzt werden.

Kaspersky spricht von einem softwarebasierten Angriff auf die Lieferkette. Ende vergangenen Jahres sorgte ein Bericht von Bloomberg für Aufsehen, der China unterstellte, die Lieferkette hardwarebasiert anzugreifen. Kaspersky vermutet, dass die Angreifer der Operation Shadowhammer auch für die Schadsoftware im CCleaner 2017 verantwortlich sind. Bei beiden Angriffen wurden nur unter bestimmten Bedingungen die Command-and-Control-Server kontaktiert.



Anzeige
Spiele-Angebote
  1. 4,19€
  2. (-75%) 3,75€
  3. (-68%) 9,50€

Hotohori 25. Apr 2019

Da kann man sich direkt ausmalen wie Trojaner in Zukunft immer cleverer programmiert...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

    •  /