Operation ShadowHammer bedroht eine Millionen Nutzer

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der Operation ,ShadowHammer‘ handelt es sich um einen Supply-Chain-Angriff. Die Angreifer visierten speziell Anwender des Programms ASUS Live Update Utility an. Hierfür wurde mindestens zwischen Juni und November 2018 ein Backdoor-Programm in das Update-Programm injiziert. Die Experten von Kaspersky Lab schätzen, dass weltweit mehr als eine Million Nutzer davon betroffen waren.

Supply-Chain-Angriffe gehören zu den gefährlichsten und wirksamsten Infektionsmethoden und kamen in den vergangenen Jahren zunehmend bei fortschrittlichen Cyber-Angriffen zum Einsatz, zum Beispiel bei ,ShadowPad‘ oder ,CCleaner‘. Sie zielen auf bestimmte Schwächen innerhalb vernetzter Systeme ab, bei denen menschliche, organisatorische und materielle Ressourcen an einem Produktlebenszyklus beteiligt sind – von der ersten Entwicklungsphase bis hin zum Endnutzer. Das Problem: Auch wenn die Infrastruktur eines Anbieters sicher ist, existieren möglicherweise Schwachstellen in den Systemen der Partner und Dienstleister, über die eine Lieferkette sabotiert werden kann – mit schwerwiegenden Konsequenzen, wie unerwartetem und verheerendem Datenverlust.

Die Hintermänner von ShadowHammer hatten es anfangs auf einen Angriffsvektor via ASUS Live Update Utility abgesehen. Hierbei handelt es sich um ein auf den meisten neuen ASUS-Computern vorinstalliertes Dienstprogramm, das für automatische BIOS-, UEFI-, Treiber- und Anwendungs-Updates zuständig ist. Mit gestohlenen digitalen Zertifikaten, die von ASUS zum Signieren legitimer Binärdateien verwendet werden, konnten die Angreifer ältere Versionen der ASUS-Software manipulieren und ihren eigenen bösartigen Code injizieren. Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar. Auch wenn dies bedeutet, dass potenziell jeder Nutzer der betroffenen Software zum Opfer hätte werden können, konzentrierten sich die Akteure hinter ShadowHammer darauf, gezielt Zugang zu mehreren hundert Anwendern zu erlangen, die sie bereits im Visier hatten.

Wie die Kaspersky-Experten herausfanden, enthielten die Backdoor-Codes eine Tabelle mit fest kodierten MAC-Adressen – die eindeutig identifizierbare Kennung der Netzwerkadapter, mit denen ein Computer mit einem Netzwerk verbunden wird. Sobald das Backdoor auf dem Gerät eines Opfers ausgeführt wurde, glich es die MAC-Adresse mit der Tabelle ab. Stimmte die MAC-Adresse mit einem der Einträge überein, lud die Malware die nächste Stufe des bösartigen Codes herunter. Im gegenteiligen Fall zeigte das infiltrierte Update-Programm keine Netzwerkaktivität, weshalb es so lange unentdeckt blieb. Insgesamt konnten die Sicherheitsexperten mehr als 600 betroffene MAC-Adressen identifizieren. Auf die Opfersysteme zielten insgesamt über 230 einzigartige Backdoor-Samples mit unterschiedlichen Shellcodes ab.

Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Code-Ausführung, um versehentlichem Code- oder Datenverlust vorzubeugen, deuten darauf hin, dass es den hinter diesem komplexen Angriff stehenden Akteuren sehr wichtig war, unentdeckt zu bleiben und gleichzeitig einige sehr spezifische Ziele mit extremer Präzision ins Visier zu nehmen. Eine eingehende technische Analyse zeigt, dass das Arsenal der Angreifer sehr weit entwickelt ist und einen sehr hohen Entwicklungsstand innerhalb der Gruppe widerspiegelt.

Bei der Suche nach ähnlicher Malware sind die Experten auf Software drei weiterer Anbieter in Asien gestoßen, die alle mit sehr ähnlichen Methoden und Techniken ausgestattet sind. Kaspersky Lab hat Asus und die anderen Anbieter darüber in Kenntnis gesetzt. (rhh)

Hier geht es zu Kaspersky Labs