• IT-Karriere:
  • Services:

Nach Angriff auf Asus: Sechs weitere Firmen verteilen signierte Schadsoftware

Neben Asus sind sechs weitere Firmen aus dem asiatischen Raum von Angriffen der Shadowhammer-Gruppe betroffen. Auch hier wurde die Schadsoftware mit den echten Zertifikaten der Softwarehersteller signiert. Der Trojaner wird nur unter bestimmten Bedingungen aktiv.

Artikel veröffentlicht am ,
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen.
Neben Asus sind weitere Firmen von einem Trojaner der Operation Shadowhammer betroffen. (Bild: StoryTolley/Pixabay)

Die Sicherheitsfirma Kaspersky Lab hat sechs weitere Firmen entdeckt, die von der Operation Shadowhammer betroffen sind. Es handelt sich vor allem um Spielehersteller aus dem asiatischen Raum. Wie bei dem bereits im März bekanntgewordenen Angriff auf Asus wurde auch hier Schadsoftware im Namen der Firmen verteilt, die mit deren Originalzertifikaten signiert wurde. Über die Signaturen soll eigentlich sichergestellt werden, dass die Software autorisiert und nicht verändert wurde.

Stellenmarkt
  1. griep Verwaltungs GmbH, Wiesbaden
  2. exagon consulting & solutions gmbh, Siegburg

Einer der betroffenen asiatischen Spielehersteller ist die südkoreanische Firma Zepetto, die den Shooter Pointblank vertreibt. Neben diesem wurde auch das postapokalyptische Zombie-Spiel Infestation: Survivor Stories trojanisiert. Dieses wird von den asiatischen Spieleherstellern Electronics Extreme und Innovative Extremist vertrieben, die beide von der Operation Shadowhammer betroffen waren. Einen vierten Spielehersteller sowie eine Holdinggesellschaft und eine Pharmafirma aus Südkorea wurden von Kaspersky nicht namentlich genannt. Diese würden derzeit über die Vorfälle informiert, sagt Kaspersky.

Trojaner kann sich selbst deaktivieren

Wird eine trojanisierte Version eines Spiels oder einer Software durch einen Nutzer geöffnet, überprüft der Trojaner das System. Entdeckt er, dass bestimmte System-Monitoring-Tools laufen oder die Systemsprache Chinesisch oder Russisch ist, beendet sich der Trojaner automatisch. Ist das nicht der Fall, sammelt er Systeminformationen wie die Mac-Adresse, den Nutzernamen, die Windows-Version, Prozessorarchitektur, Systemsprache oder die IP-Adresse. Die Informationen schickt der Trojaner anschließend an einen Command-and-Control-Server und fragt weitere Befehle ab. Beispielsweise könnten weitere Dateien heruntergeladen und ausgeführt oder der Trojaner deaktiviert werden.

Softwareentwickler aufgepasst

Anders als bei dem Angriff auf Asus, bei welchem die Binärdateien mit dem Schadcode gepatcht wurden, wurde die Schadsoftware bei den neuen Fällen nahtlos in den Quellcode von kürzlich kompilierten Programmen integriert. Hierzu sei die Entwicklungsumgebung Microsoft Visual Studio der Programmierer trojanisiert worden. Wie die entsprechende Schadsoftware auf die Rechner gelangt ist, wisse Kaspersky nicht.

Softwareentwickler sollten daher aufpassen, aus welchen Quellen sie ihre Entwicklungsumgebung installieren und die Integrität der Installation überprüfen, meint Kaspersky. "Softwarehersteller sollten ein weiteres Kontroll-Instrument im Buildingprozess der Software einführen, das ihre Software auf potenzielle Injektionen von Schadsoftware überprüft - selbst wenn der Code danach digital signiert wird." Die Angriffe beschädigten zwar das Vertrauen in die Sicherheit von digitalen Signaturen - selbst bei großen Herstellern wie Asus -, dennoch sollte weiterhin auf das Instrument gesetzt werden.

Kaspersky spricht von einem softwarebasierten Angriff auf die Lieferkette. Ende vergangenen Jahres sorgte ein Bericht von Bloomberg für Aufsehen, der China unterstellte, die Lieferkette hardwarebasiert anzugreifen. Kaspersky vermutet, dass die Angreifer der Operation Shadowhammer auch für die Schadsoftware im CCleaner 2017 verantwortlich sind. Bei beiden Angriffen wurden nur unter bestimmten Bedingungen die Command-and-Control-Server kontaktiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-10%) 31,49€
  2. 31,99€
  3. 40,49€

Hotohori 25. Apr 2019

Da kann man sich direkt ausmalen wie Trojaner in Zukunft immer cleverer programmiert...


Folgen Sie uns
       


Windows Powertoys - Tutorial

Wir geben einen kurzen Überblick der Funktionen von Powertoys für Windows 10.

Windows Powertoys - Tutorial Video aufrufen
    •  /