Nach Angriff auf Asus: Sechs weitere Firmen verteilen signierte Schadsoftware

Neben Asus sind sechs weitere Firmen aus dem asiatischen Raum von Angriffen der Shadowhammer-Gruppe betroffen. Auch hier wurde die Schadsoftware mit den echten Zertifikaten der Softwarehersteller signiert. Der Trojaner wird nur unter bestimmten Bedingungen aktiv.

Artikel veröffentlicht am ,
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen.
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen. (Bild: StoryTolley/Pixabay)

Die Sicherheitsfirma Kaspersky Lab hat sechs weitere Firmen entdeckt, die von der Operation Shadowhammer betroffen sind. Es handelt sich vor allem um Spielehersteller aus dem asiatischen Raum. Wie bei dem bereits im März bekanntgewordenen Angriff auf Asus wurde auch hier Schadsoftware im Namen der Firmen verteilt, die mit deren Originalzertifikaten signiert wurde. Über die Signaturen soll eigentlich sichergestellt werden, dass die Software autorisiert und nicht verändert wurde.

Einer der betroffenen asiatischen Spielehersteller ist die südkoreanische Firma Zepetto, die den Shooter Pointblank vertreibt. Neben diesem wurde auch das postapokalyptische Zombie-Spiel Infestation: Survivor Stories trojanisiert. Dieses wird von den asiatischen Spieleherstellern Electronics Extreme und Innovative Extremist vertrieben, die beide von der Operation Shadowhammer betroffen waren. Einen vierten Spielehersteller sowie eine Holdinggesellschaft und eine Pharmafirma aus Südkorea wurden von Kaspersky nicht namentlich genannt. Diese würden derzeit über die Vorfälle informiert, sagt Kaspersky.

Trojaner kann sich selbst deaktivieren

Wird eine trojanisierte Version eines Spiels oder einer Software durch einen Nutzer geöffnet, überprüft der Trojaner das System. Entdeckt er, dass bestimmte System-Monitoring-Tools laufen oder die Systemsprache Chinesisch oder Russisch ist, beendet sich der Trojaner automatisch. Ist das nicht der Fall, sammelt er Systeminformationen wie die Mac-Adresse, den Nutzernamen, die Windows-Version, Prozessorarchitektur, Systemsprache oder die IP-Adresse. Die Informationen schickt der Trojaner anschließend an einen Command-and-Control-Server und fragt weitere Befehle ab. Beispielsweise könnten weitere Dateien heruntergeladen und ausgeführt oder der Trojaner deaktiviert werden.

Softwareentwickler aufgepasst

Anders als bei dem Angriff auf Asus, bei welchem die Binärdateien mit dem Schadcode gepatcht wurden, wurde die Schadsoftware bei den neuen Fällen nahtlos in den Quellcode von kürzlich kompilierten Programmen integriert. Hierzu sei die Entwicklungsumgebung Microsoft Visual Studio der Programmierer trojanisiert worden. Wie die entsprechende Schadsoftware auf die Rechner gelangt ist, wisse Kaspersky nicht.

Softwareentwickler sollten daher aufpassen, aus welchen Quellen sie ihre Entwicklungsumgebung installieren und die Integrität der Installation überprüfen, meint Kaspersky. "Softwarehersteller sollten ein weiteres Kontroll-Instrument im Buildingprozess der Software einführen, das ihre Software auf potenzielle Injektionen von Schadsoftware überprüft - selbst wenn der Code danach digital signiert wird." Die Angriffe beschädigten zwar das Vertrauen in die Sicherheit von digitalen Signaturen - selbst bei großen Herstellern wie Asus -, dennoch sollte weiterhin auf das Instrument gesetzt werden.

Kaspersky spricht von einem softwarebasierten Angriff auf die Lieferkette. Ende vergangenen Jahres sorgte ein Bericht von Bloomberg für Aufsehen, der China unterstellte, die Lieferkette hardwarebasiert anzugreifen. Kaspersky vermutet, dass die Angreifer der Operation Shadowhammer auch für die Schadsoftware im CCleaner 2017 verantwortlich sind. Bei beiden Angriffen wurden nur unter bestimmten Bedingungen die Command-and-Control-Server kontaktiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  2. LTE: Kaum weniger Funklöcher in Deutschland
    LTE
    Kaum weniger Funklöcher in Deutschland

    Während bei 5G viel ausgebaut wurde, haben die Netzbetreiber zu wenig LTE-Funklöcher geschlossen. Das ergab zumindest eine Auswertung von Verivox.

  3. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /