ShadowHammer-Hacker zielten auch auf Spiele-Entwickler

Publiziert am 9. April 2019 von Günter Born

Vor zwei Wochen wurde bekannt, dass ein Updater-Tool von ASUS von Hackern im Rahmen eines ShadowHammer-Cyberangriffs kompromittiert und mit einer Backdoor versehen wurde. Nun wurde bekannt, dass auch Spieleentwickler angegriffen wurde.

Anzeige

Die ShadowHammer-Attacke weitet sich wohl aus. Im Blog-Beitrag ShadowHammer: ASUS Live Update mit Backdoor infiziert hatte ich Ende März 2019 berichtet, dass Cyber-Kriminelle den PC-Hersteller ASUS angegriffen hatten. Die Angreifer hatten eine ältere Version des ASUS Live Update-Dienstprogramm in den Binärdateien so modifiziert, dass sie eine Backdoor nachladen konnten. Diese Version des Dienstprogramms wurde dann mit einem von ASUS verwendeten Zertifikat signiert. Den Angreifer gelang es anschließend, in die Herstellkette (Supply Chain) für das ASUS Live Update-Dienstprogramm einzudringen und die kompromittierte Programmversion dort abzulegen. Von dort wurde die infizierte Komponente auf die Systeme der Benutzer verteilt. Sicherheitsanbieter Kaspersky hatt den Angriff entdeckt und veröffentlicht. Weitere Details finden sich in den am Artikelende verlinkten Beiträgen.

Angriff auf Spielehersteller

Im Blog-Beitrag ShadowHammer: ASUS Live Update mit Backdoor infiziert hatte ich in einem Satz erwähnt, dass neben ASUS auch mindestens drei Spiele-Entwicklungsfirmen ebenfalls angegriffen und infiziert wurden. Nun hat Vitaly Kamluk von Kaspersky auf dem Security Analyst Summit in Sigapur Details bekannt gegeben. Gegenüber Heise bestätigte Kamluk, dass das thailändische Unternehmen Electronics Extreme sowie der südkoreanische Anbieter Zepetto erfolgreich angegriffen wurden.

Kasperky gibt an, dass die Angreifer direkten Zugriff auf die Visual Studio Entwicklungsumgebungen der Entwickler hatten. Compilierte ein Entwickler in Microsofts Visual Studio eine ausführbare Programmdatei, die mit einem in der Malware eingetragenen Namen übereinstimmte, schlug die Schadsoftware zu. Stat der zu Visual Studio gehörenden Laufzeitbibiliothek wurde eine von der Schadsoftware installierte und infizierte DLL namens msodb120.dll in das Programmpaket eingebunden. Mit diesem Kniff gelang es, eine Backdoor in die Programme einzubauen, mit der ca. 94.000 Spiele-Rechner in Asien infiziert wurden.

Außerdem wurden laut Heise noch ein Pharmaunternehmen sowie ein großes südkoreanisches Industriekonglomerat als Opfer der Angriffskampagne identifiziert. Laut Kasperky dürften nicht alle Opfer identifiziert worden sein. Der Sicherheitsanbieter geht davon aus, dass weitere Unternehmen angegriffen wurden. Details lassen sich bei Heise nachlesen.

Ähnliche Artikel:
ShadowHammer: ASUS Live Update mit Backdoor infiziert
ShadowHammer Mac-Adressen veröffentlicht
Backdoor: ASUS war seit Monaten vor Risiken gewarnt

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.