[English]Das Bundeskriminalamt (BKA) hat bereits im August 2020 eine Warnung vor chinesischen Spioanageaktivitäten gegenüber deutschen Firmen veröffentlicht, die in China Geschäftsbeziehungen unterhalten.
Anzeige
So ganz neu ist das Thema nicht – ich hatte bereits im Juni 2020 im Blog-Beitrag China und die Spyware in Softwareprodukten über den Sachverhalt berichtet. Zum Jahresabschluss und in Anbetracht der SolarWinds SOLARBURST-Spionageaktion, die vor allem die USA getroffen hat, holte ich das Thema nach einem Leserhinweise nochmals hervor.
Warnung bereits im August 2020
Der Sachverhalt seinerzeit: Anfang 2020 wurde ein multinationaler Technologieanbieter, der in China geschäftlich tätig ist, von seiner chinesischen Bank angewiesen, Software zu installieren, um lokale Steuern zu zahlen. Die Steuersoftware selbst war legitim, aber darin eingebettet war eine böse Überraschung. Aus einem neuen Bericht einer privaten Sicherheitsfirma geht hervor, dass die Software infiziert war. Im Programm war ein ausgeklügeltes Stück Malware integriert, das Angreifern vollständigen Zugang zum Firmennetzwerk verschaffte.
Die Firma Trustwave, die den Fall aufgedeckt hat, nannte die bösartige Software „GoldenSpy" und warnt in einem am Donnerstag veröffentlichten Bericht andere, ihre Netzwerke danach zu durchsuchen. „Wenn Sie geschäftlich in China aktiv sind und wenn Sie jemand bittet, etwas zu installieren, rufen wir zu zusätzlicher Wachsamkeit auf", sagte Hussey. „Wir bitten alle dringend, zu prüfen, ob sie betroffen sind."
Trustwave hat zwar keine Details zum Kunden und zum Fall genannt. Die Malware scheint seit April 2020 aktiv zu sein, und man geht davon aus, dass staatliche Akteure aus China die Finger im Spiel haben. Weitere Details sind diesem Artikel zu entnehmen.
Warnung des BKA vor GoldenSpy
Blog-Leser Robert G. hat mich heute per Mail auf eine Warnung des BKA hingewiesen, die genau auf das Thema GoldenSpy abstellt (danke dafür). Robert arbeitet in einem Unternehmen und fragt, ob jemand Erfahrungen mit dem Thema hat. In dieser Meldung vom August 2020 warnt das BKA allgemein:
Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) sowie dem Bundeskriminalamt (BKA) liegen Erkenntnisse vor, dass deutsche Unternehmen mit Sitz in China möglicherweise mittels der Schadsoftware GOLDENSPY ausgespäht werden. Ziel dieser gemeinsamen Warnmeldung ist es, deutsche Wirtschaftsunternehmen zu sensibilisieren und mit den notwendigen technischen Informationen zu versehen, um eine mögliche Infektion detektieren zu können.
Das BKA bezieht sich in der Meldung auf keinen speziellen Fall, sondern bezieht sich auf Hinweise von 'Sicherheitsunternehmen' sowie eine Warnung des FBI (vorm Juni 2020) vor möglichen GoldenSpy-Infektionen. Der Sachverhalt ist oben bereits skizziert:
Ausländische Unternehmen, die in China aktiv sind, sind verpflichtet eine Steuersoftware zu installieren, um automatisiert und softwaregestützt Steuerabgaben an das zuständige Finanzamt abzuführen sowie Finanztransaktionen abzuwickeln. Dabei soll es sich um die legitime chinesische Steuersoftware INTELLIGENT TAX (auch GOLDENTAX genannt) handeln. Durch die Installation dieser legitimen Software soll jedoch eine Spionagesoftware mit dem Namen GOLDENSPY nachgeladen werden, durch die Dritte Zugriff auf die Netzwerke der betroffenen Unternehmen erlangen.
BfV und BKA haben dann die bekannten technischen Parameter zusammengetragen und um eigene Erkenntnisse ergänzt. Diese werden mit dieser Warnmeldung zum Schutz deutscher Wirtschaftsunternehmen zur Verfügung gestellt.
Gemäß den Erkenntnissen von IT-Dienstleistern kann nach Ausführung der legitimen Steuersoftware die zusätzliche Datei plugins.exe ausgeführt und dadurch automatisiert und ohne Mitteilung an den Nutzer nach ca. zwei Stunden die GOLDENSPY-Software im betroffenen System nachgeladen und installiert werden. Dadurch könnten Dritte vollumfängliche Zugriffsmöglichkeiten inklusive Administratorenrechte erhalten.
Anzeige
Durch die Installation von GOLDENSPY wird eine weitere Datei mit der Bezeichnung svminstaller.exe nachgeladen, die zwei identische .exe-Dateien mit der Bezeichnung svm.exe und svmm.exe im System der betroffenen Opferinstalliert (dabei handelt es sich um zwei identische Versionen von GOLDENSPY), welche von der Domain ningzhidata[.]com übertragen werden. Die beiden Dateien weisen die folgenden Backdoor-Fähigkeiten auf:
- Beide Dateien werden als Autostart Services installiert, die sich – sollte einer der beiden Services beendet werden – gegenseitig neu starten. Wird eine der beiden Dateien gelöscht, wird eine neue Version nachgeladen und ausgeführt, was die Entfernung der Malware von einem infizierten System aufgrund der zusätzlichen Nutzung von Administratorenrechten erschwert.
- Durch die Deinstallationsfunktion der INTELLIGENT TAX-Software wird GOLDENSPY nicht deinstalliert.
- GOLDENSPY wird erst ca. zwei Stunden nach Abschluss der Installation der Steuersoftware heruntergeladen und installiert, ohne Benachrichtigung auf dem System des Opfers. Nach Ausführung nimmt die Software Kontakt mit einem Server auf, der nicht zur offiziellen Steuersoftware gehört.
- Nach den ersten Versuchen, den C2-Server zu kontaktieren, werden die Beacon-Zeiten nach dem Zufallsprinzip gesetzt, was eine Identifikation als typische Beaconing-Malware erschwert.
GoldenSpy wurde automatisch deinstalliert
Das BKA schreibt, dass bereits kurz nach Bekanntwerden der Vorfälle und der Schadsoftware GOLDENSPY ein weiteres Tool (nach meiner Lesart durch Schina) an betroffene Unternehmen ausgeliefert wurde, wodurch GOLDENSPY mittels der Datei AWX.exe vollständig vom Opfersystem entfernt wird. Zu den Funktionsweisen gehören u. a. das Löschen von Registry-Einträgen sowie LogFiles. Nach erfolgreicher Bereinigung entfernt sich das Tool ebenfalls selbstständig vom betroffenen System.
Da bereits mehrere IT-Sicherheitslösungen die AWX.exe als maliziös erkennen, wurde hier eine weiterentwickelte Version (BWXT.exe) in Umlauf gebracht. Die bereits beschriebenen Funktionsweisen wurden beibehalten.
Handlungsempfehlungen des BKA
Im Dokument gibt das BKA spezielle Handlungsempfehlungen, wie Unternehmen mit dem Problem umgehen sollen. Dazu gehört die Orientierung an den öffentlich verfügbaren Standards empfohlen, wie den Richtlinien des BSI-Grundschutzes oder den praxisbewährten CIS Controls des Centers for Internet Security.
- Für den Einsatz von Software oder Systemen, welche zur Erfüllung von rechtlichen Vorgaben in anderen Ländern zwingend genutzt werden müssen, wird empfohlen, diese nicht in die Domäne zu integrieren, sondern diese – soweit möglich – von kritischen Unternehmensnetzen getrennt zu betreiben.
- Auf diesen Systemen sollten nur die für die Erfüllung der rechtlichen Vorgaben benötigten Daten verarbeitet werden.
- Nicht mehr benötigte Daten sollten regelmäßig von diesen Systemen gelöscht werden.
- Verwendete Zugangsdaten sollten exklusiv genutzt und nicht an anderer Stelle weiterverwendet werden.
Es wird empfohlen, die eigenen Systeme mit den zur Verfügung gestellten IOCs und Detektionssignaturen zu prüfen. Insbesondere sollte in Logdateien und aktiven Netzwerkverbindungen nach Verbindungen zu den im Bereich IOCs genannten externen Systemen gesucht werden. Außerdem sollte in den Windows-Eventlogs nach der Erstellung von Services mit den Namen svm oder svmm gesucht werden.
Bei Hinweisen auf eine Infektion bzw. verdächtiges Systemverhalten sollten die erprobten Pläne für Incident Response ausgeführt werden, um das Ausmaß einer etwaigen Kompromittierung zu erfassen, einzudämmen und effektiv begegnen zu können. Systeme, auf denen verdächtige Software installiert war, sollten auch ohne Hinweise auf eine aktive Infektion, unter Berücksichtigung der im Bereich Prävention genannten Empfehlungen, neu aufgesetzt werden. Weitere Details und technische Infikatoren lassen sich im BKA-Dokument abrufen.
2015
