Nach Angriff auf Asus: Sechs weitere Firmen verteilen signierte Schadsoftware

Neben Asus sind sechs weitere Firmen aus dem asiatischen Raum von Angriffen der Shadowhammer-Gruppe betroffen. Auch hier wurde die Schadsoftware mit den echten Zertifikaten der Softwarehersteller signiert. Der Trojaner wird nur unter bestimmten Bedingungen aktiv.

Artikel veröffentlicht am ,
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen.
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen. (Bild: StoryTolley/Pixabay)

Die Sicherheitsfirma Kaspersky Lab hat sechs weitere Firmen entdeckt, die von der Operation Shadowhammer betroffen sind. Es handelt sich vor allem um Spielehersteller aus dem asiatischen Raum. Wie bei dem bereits im März bekanntgewordenen Angriff auf Asus wurde auch hier Schadsoftware im Namen der Firmen verteilt, die mit deren Originalzertifikaten signiert wurde. Über die Signaturen soll eigentlich sichergestellt werden, dass die Software autorisiert und nicht verändert wurde.

Stellenmarkt
  1. Mitarbeiter Technischer Kundensupport - Installation (m/w/d)
    NOVENTI Health SE, Lübeck
  2. Fachinformatiker*in im Bereich Deployment
    Max-Planck-Institut für Plasmaphysik Teilinstitut Greifswald, Greifswald
Detailsuche

Einer der betroffenen asiatischen Spielehersteller ist die südkoreanische Firma Zepetto, die den Shooter Pointblank vertreibt. Neben diesem wurde auch das postapokalyptische Zombie-Spiel Infestation: Survivor Stories trojanisiert. Dieses wird von den asiatischen Spieleherstellern Electronics Extreme und Innovative Extremist vertrieben, die beide von der Operation Shadowhammer betroffen waren. Einen vierten Spielehersteller sowie eine Holdinggesellschaft und eine Pharmafirma aus Südkorea wurden von Kaspersky nicht namentlich genannt. Diese würden derzeit über die Vorfälle informiert, sagt Kaspersky.

Trojaner kann sich selbst deaktivieren

Wird eine trojanisierte Version eines Spiels oder einer Software durch einen Nutzer geöffnet, überprüft der Trojaner das System. Entdeckt er, dass bestimmte System-Monitoring-Tools laufen oder die Systemsprache Chinesisch oder Russisch ist, beendet sich der Trojaner automatisch. Ist das nicht der Fall, sammelt er Systeminformationen wie die Mac-Adresse, den Nutzernamen, die Windows-Version, Prozessorarchitektur, Systemsprache oder die IP-Adresse. Die Informationen schickt der Trojaner anschließend an einen Command-and-Control-Server und fragt weitere Befehle ab. Beispielsweise könnten weitere Dateien heruntergeladen und ausgeführt oder der Trojaner deaktiviert werden.

Softwareentwickler aufgepasst

Anders als bei dem Angriff auf Asus, bei welchem die Binärdateien mit dem Schadcode gepatcht wurden, wurde die Schadsoftware bei den neuen Fällen nahtlos in den Quellcode von kürzlich kompilierten Programmen integriert. Hierzu sei die Entwicklungsumgebung Microsoft Visual Studio der Programmierer trojanisiert worden. Wie die entsprechende Schadsoftware auf die Rechner gelangt ist, wisse Kaspersky nicht.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Softwareentwickler sollten daher aufpassen, aus welchen Quellen sie ihre Entwicklungsumgebung installieren und die Integrität der Installation überprüfen, meint Kaspersky. "Softwarehersteller sollten ein weiteres Kontroll-Instrument im Buildingprozess der Software einführen, das ihre Software auf potenzielle Injektionen von Schadsoftware überprüft - selbst wenn der Code danach digital signiert wird." Die Angriffe beschädigten zwar das Vertrauen in die Sicherheit von digitalen Signaturen - selbst bei großen Herstellern wie Asus -, dennoch sollte weiterhin auf das Instrument gesetzt werden.

Kaspersky spricht von einem softwarebasierten Angriff auf die Lieferkette. Ende vergangenen Jahres sorgte ein Bericht von Bloomberg für Aufsehen, der China unterstellte, die Lieferkette hardwarebasiert anzugreifen. Kaspersky vermutet, dass die Angreifer der Operation Shadowhammer auch für die Schadsoftware im CCleaner 2017 verantwortlich sind. Bei beiden Angriffen wurden nur unter bestimmten Bedingungen die Command-and-Control-Server kontaktiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /