Kunden-Update steht bereit
Kaspersky Lab hat den Hersteller der betroffenen Software, NetSarang, informiert; daraufhin wurde der Schadcode sofort entfernt und ein Update für Kunden bereitgestellt. ShadowPad gehört zu den größten, bislang bekannten Supply-Chain-Angriffen. Wäre ShadowPad nicht so schnell entdeckt und gepatched worden, hätten weltweit hunderte Organisationen angegriffen werden können.
Verdächtige Server-Management-Software
Das Global Research and Analysis Team (GReAT) von Kaspersky Lab wurde im Juli 2017 von einem seiner Partner, einer Finanzinstitution, kontaktiert, weil deren Sicherheitsexperten über verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen besorgt waren.
Die weitere Untersuchung identifizierte die Server-Management-Software eines seriösen Herstellers als Quelle dieser Anfragen. Das Produkt ist weltweit bei Hunderten von Kunden aus den Branchen Finanzdienstleistung, Bildung und Erziehung, Telekommunikation, Produktion und Transport im Einsatz. Besonders besorgniserregend war allerdings die Tatsache, dass der Hersteller die DNS-Anfragen in seiner Software nicht beabsichtigt hatte.
Schädliches Modul entdeckt
Tatsächlich konnten die Experten von Kaspersky Lab im Verlauf der Untersuchung als Ursache der Anfragen die Aktivitäten eines schädlichen Moduls ausmachen, das in der aktuellen Version der legitimen Software versteckt war. Nach erfolgreicher Installation hätte es je einmal innerhalb von acht Stunden DNS-Anfragen an bestimmte Domains – seine Command-and-Control (C&C)-Server – gesendet und dabei grundlegende Informationen über das infizierte System wie die Namen von User, Domain und Host weitergegeben.
Bei für Angreifer interessanten Systemen hätte der Command Server antworten und eine vollwertige Backdoor-Plattform aktivieren können, welche sich heimlich im angegriffenen Rechner festgesetzt hätte. Das Backdoor wiederum hätte auf Befehl der Angreifer dort weiteren schädlichen Code downloaden und ausführen können.
Software-Hersteller informiert
Nach ihrer Entdeckung informierten die Experten von Kaspersky Lab unverzüglich NetSarang. Das Unternehmen reagierte rasch und veröffentlichte eine aktualisierte, Schadcode-freie Version der Software.
Die Untersuchung von Kaspersky Lab ergab, dass das schädliche Modul bislang in Hongkong aktiviert wurde, es jedoch noch auf zahlreichen weiteren Systemen in aller Welt schlummern könnte, besonders wenn dort nicht bereits die aktualisierte Version der betroffenen Software installiert wurde.
Die Software-Analyse
Bei der Analyse der Tools, Techniken und Arbeitsweise der Angreifer haben die Cybersicherheitsexperten gewisse Ähnlichkeiten zu den PlugX-Malware-Varianten der bekannten, chinesischsprachigen Cyberspionage-Gruppe Winnti APT entdeckt. Die Indizien sind jedoch zu schwach, um einen eindeutigen Bezug zu dieser Gruppe herzustellen.
Dazu kommentierte Igor Soumenkov, Security Expert im Global Research and Analysis Team bei Kaspersky Lab:
„ShadowPad ist ein Beispiel dafür, wie gefährlich und umfassend ein erfolgreicher Supply-Chain-Angriff sein kann“
„Die Möglichkeiten bezüglich der Reichweite und der von den Angreifern gesammelten Daten machen es wahrscheinlich, dass so etwas zukünftig immer wieder mit anderen, weit verbreiteten Softwarekomponenten passieren könnte. Glücklicherweise konnte NetSarang nach unseren Hinweis schnell reagieren und ein sauberes Update der Software zur Verfügung stellen. Damit konnten höchstwahrscheinlich viele hundert weitere Angriffe auf NetSarang-Kunden verhindert werden. Der Fall zeigt jedoch, dass alle großen Unternehmen hochentwickelte Lösungen einsetzen sollten, die in der Lage sind, Netzwerkaktivitäten zu beobachten und bestimmte Anomalien zu erkennen; denn damit lassen sich schädliche Aktivitäten auch dann noch entdecken, wenn geschickte Angreifer ihre Malware in regulärer Software verstecken.“
Statement von NetSarang
„Um sich der ständig verändernden Landschaft von Cyberangriffen entgegen zu stellen, nutzt NetSarang verschiedene Methoden und Maßnahmen, um seine Produktlinien vor Kompromittierung, Infektionen und dem Missbrauch durch Cyberspionage-Gruppen zu schützen. Bedauerlicherweise wurde am 18. Juli 2017 die ,Build Release‘ unserer vollständigen Produktlinie ohne unser Wissen mit einem Backdoor ausgeliefert, die deren Entwickler auch hätten nutzen können.“
Kaspersky’s Rat rät für alle Anwender
Kaspersky Lab rät allen Anwendern zum sofortigen Update auf die neueste Version der Software von NetSarang, die frei von schädlichen Modulen ist. Außerdem müssen alle Systeme in Hinblick auf DNS-Anfragen an ungewöhnliche Domains überprüft werden. Der Securelist-Blogbeitrag listet alle Domainen von Command Servern auf, die von dem Schadmodul genutzt wurden, und liefert weitere Informationen zum Backdoor.
