Jena – Wenn die Winnti-Gruppe zu neuen Cyber-Angriffen ansetzt, herrscht Alarmstufe Rot bei Regierungen und Grossunternehmen. Denn die professionelle Hackerbande setzt auf innovative Malware und Angriffe auf die sogenannte Supply-Chain, um ihre Opfer auszuspionieren. Den Experten von ESET ist es nun gelungen, das aktuelle Waffen-Arsenal von Winnti zu enttarnen. Dadurch konnten sie einen grossen Hersteller von mobiler Soft- und Hardware in Asien vor ernsten Schäden bewahren.
Untersuchungen laufen seit dem Frühjahr auf Hochtouren
Bereits im März 2019 warnten ESET-Forscher vor neuen Supply-Chain-Angriffen («Lieferketten-Angriffe») von Winnti gegen Videospieler in Asien. Nach dieser Veröffentlichung setzten sie ihre Untersuchungen in zwei Richtungen fort. Zum einen, um die verschiedenen Stufen dieses Angriffs zu erforschen. Zum anderen, um herauszufinden, wie die digitalen Supply-Chains («Lieferketten») von Unternehmen untergraben wurden, um Malware in ihren Anwendungen bereitzustellen.
«Die Suche nach einem kleinen Stück gut versteckten Codes, der zu einer manchmal riesigen, bestehenden Codebasis hinzugefügt wird, ist wie das Finden einer Nadel im Heuhaufen. Wir haben uns jedoch auf Verhaltensweisen und Code-Ähnlichkeit verlassen, um die Nadel zu erkennen», sagt Marc-Étienne Léveillé, ESET-Forscher, der die Winnti-Gruppe untersucht hat. «Wir waren von dem einzigartigen Packer fasziniert, der bei den jüngsten Angriffen gegen die Gaming-Industrie in Asien eingesetzt wurde. Deshalb wollten wir herausfinden, ob er anderswo auch eingesetzt wurde. Und so war es», fügt er hinzu.
Mit PortReuse und Shadowpad auf Opferjagd
Die Winnti-Gruppe verwendet diesen Packer in einer Backdoor mit dem Namen PortReuse. In Zusammenarbeit mit Censys (einer Suchmaschine für Sicherheitslücken) führte ESET einen internetweiten Scan durch, um Backdoor-Varianten und potenzielle Opfer zu identifizieren. ESET-Forscher konnten so einen grossen Hersteller von mobiler Soft- und Hardware in Asien warnen, dass er mit PortReuse kompromittiert wurde. Die Sicherheitsexperten analysierten auch neue Varianten der Backdoor Shadowpad. Diese wurde in der Vergangenheit von Winnti rege genutzt und permanent weiterentwickelt.
So gefährlich sind Supply-Chain-Angriffe
Sogenannte Supply-Chain-Angriffe sind eine neue Art von Bedrohung, die Softwareentwicklern und Lieferanten Kopfzerbrechen bereitet. Das Ziel besteht darin, auf Quellcodes zuzugreifen, Prozesse zu erstellen oder Mechanismen zu aktualisieren, indem legitime Apps zum Verteilen von Malware infiziert werden. Durch die Modifikation vertrauenswürdiger Software innerhalb der Lieferkette können Angreifer die Prozesse der Opfer ausspionieren oder sogar manipulieren. Bestes Beispiel dafür ist das Schadprogramm Petya, das in 2017 über eine Steuerberatungssoftware verteilt wurde.
Mehr Details und Whitepaper auf WeLiveSecurity.de
Weitere technische Details finden Sie im Blogbeitrag «Connecting the dots: Exposing the arsenal and methods of the Winnti Group» auf WeLiveSecurity.de und im kostenlosen Whitepaper. Dies beschreibt die Zusammenhänge zwischen den Vorfällen, der Malware und den verwendeten Techniken. (ESET/mc/ps)