Neues zur ShadowHammer-Attacke und den Auswirkungen

Im März 2019 wurde ein Supply-Chain-Angriff (ShadowHammer) auf das ASUS Live Update Utility bekannt, welches mit einer Backdoor infiziert wurde. Es wurden wohl auch weitere Firmen angegriffen. Inzwischen liegen weitere Erkenntnisse vor.

Ich hatte hier im Blog über den ShadowHammer-Angriffe berichtet (siehe Artikel ShadowHammer: ASUS Live Update mit Backdoor infiziert und Links am Beitragsende). Der Sachverhalt: Nutzer, die das ASUS Live Update Utility auf ihre Computern installiert hatten, wurden vermutlich zwischen Juni und November 2018 mit einer Backdoor infiziert.

(Quelle: Pexels Markus Spiske CC0 Lizenz)

Soweit so schlecht. Mitte April 2019 wurde dann bekannt, dass die Gruppe hinter ShadowHammer nicht nur Asus und drei weitere Firmen, sondern insgesamt sechs Unternehmen erfolgreich per Supply-Chain-Attack angegriffen hatte. Kaspersky hat dann einige Informationen veröffentlicht, die Bleeping Computer in diesem Artikel aufbereitet hat.

Neue Informationen

Nun hat Wired diesen Artikel veröffentlicht. Die Angriffe auf die die Supply-Chains von mindestens sechs Unternehmen in den letzten drei Jahren (auch der CCleaner wurde auf diese Weise kompromittiert) lässt sich mit hoher Wahrscheinlichkeit einer einzigen Gruppe von wahrscheinlich chinesischsprachigen Hackern zuordnen.

Die Hackergruppe wird von Sicherheitsforschern mit Namen wie Barium, manchmal auch als ShadowHammer, ShadowPad oder Wicked Panda versehen. Die Hackergruppe scheint (mehr als jedes andere bekannte Hackerteam) Supply-Chain-Angriffe als Kerninstrument zu nutzen. Ihre Angriffe folgen alle einem ähnlichen Muster: Sie versuchen eine möglichst große Anzahl von Opfern zu infizieren. Dann werden die infizierten Opfer gefiltert, um gezielt Spionageziele zu finden.

Sicherheitsforscher sind nicht nur besorgt, weil die Angriffe die Fähigkeiten von Barium demonstrieren, Computer in großem Umfang zu infiltrieren. Kritisch ist auch, dass die Gruppe Schwachstellen in der Software-Entwicklungskette (Supply Chain) ausnutzen konnte. Damit untergräbt sei das die Basis für das Vertrauensmodell, dass darauf setzt, dass die auf Computern ausgeführte Software der Hersteller oder Code aus vertrauenswürdigen Quelle frei von Schadfunktionen ist.

Besonders erschreckend für Sicherheitsforscher: Bei den erfolgreich angegriffenen Firmen sind 'die Champions der Branche' dabei, so Vitaly Kamluk, der Direktor des asiatischen Forschungsteams der Sicherheitsfirma Kaspersky und sagt weiter: "Sie [die Hacker] vergiften vertrauenswürdige Mechanismen". Die Forscher sind beunruhigt über den Erfolg der Hackergruppe.

Das Potential wurde von der Gruppe nicht genutzt

In mindestens zwei Fällen hätten die Hacker beispiellosen Schaden anrichten können. Beim Angriff auf den Software-Updater des Computerherstellers Asus, und bei der Infektion des PC-Bereinigungstools CCleaner, war es der Gruppe gelungen, Hunderttausende von Computern zu infizieren.

In diesen und anderen Fällen hätten die Hacker leicht beispielloses Chaos auslösen können, so Silas Cutler, ein Sicherheitsforscher bei dem zu Googles Alphabet gehörenden Sicherheits-Startup Chronicle. Cutler verfolgt die Aktivitäten der Barium Hacker seit längerem. Cutler vergleicht das Potenzial dieser Fälle mit dem Angriff auf die Software-Lieferkette, der 2017 zum Start des NotPetya-Cyber-Angriffs verwendet wurde.

Bei NotPetya hatte eine mutmaßlich russische Hackergruppe die Update-Server für eine weltweit eingesetzte, ukrainische Buchhaltungssoftware kompromittiert. Von dort gelang es, einen zerstörerischen Wurm in Computersysteme einzuschleusen, der bei Unternehmen auf der ganzen Welt einen Rekordschaden von 10 Milliarden Dollar verursachte.

"Wenn[Barium] bei einem dieser Angriffe einen solchen Ransomware-Wurm eingesetzt hätte, wäre es ein weitaus verheerenderer Angriff als NotPetya gewesen", so Cutler. Bisher scheint sich die Gruppe eher auf Spionage als auf Zerstörung zu konzentrieren.

Vertrauensverlust als Problem

Die Sicherheitsforscher weisen in diesem Zusammenhang, laut Wired-Artikel, noch auf ein anderes Problem hin. Die wiederholten erfolgreichen Angriffe auf die Software-Lieferkette haben einen subtileren schädlichen Einfluss, so Kamluk von Kaspersky.

"Wenn sie diesen Mechanismus missbrauchen, untergraben sie das Vertrauen in den Kern, die grundlegenden Mechanismen zur Überprüfung der Integrität der Systeme. Dies ist viel wichtiger und hat einen größeren Einfluss als die regelmäßige Ausnutzung von Schwachstellen, Phishing oder anderen Arten von Angriffen. Die Leute werden aufhören, legitimen Software-Updates und Software-Anbietern zu vertrauen."

Wenn man dann noch, was im Wired-Artikel unberücksichtigt bleibt, die vielen Kollateralschäden, die durch fehlerhafte Windows-Updates, die ausbleibenden Sicherheitsupdates auf Android-Geräten sowie die Schwachstellen in Intel ME und hardwarenaher Firmware berücksichtigt, ist in meinen Augen 'die Hütte sicherheitstechnisch am brennen'. 

Der Wired-Artikel geht noch auf einige weitere Aspekte ein, wie den Umstand, dass die Gruppe immer besser in ihren Angriffsmethoden wird. Wer sich für das Thema interessiert, findet hier weitere Informationen.

Ähnliche Artikel:
ShadowHammer: ASUS Live Update mit Backdoor infiziert
Neues zur ShadowHammer-Attacke und den Auswirkungen
Backdoor: ASUS war seit Monaten vor Risiken gewarnt

Autsch: CCleaner als Malware-Schleuder
AVAST-Stellungnahme zur CCleaner-Backdoor
AVAST: CCleaner Malware zielte auf Firmen
CCleaner Malware – weitere Analysen von AVAST

Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Briten: Russisches Militär für NotPetya-Angriff verantwortlich
Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk
Die Folgen des NotPetya-Angriffs für Maersk

Spear Phishing Angriff auf die Ukraine, weltweite Bedrohungen
Unter dem Radar – Die Zukunft unentdeckter Malware