/ OSS / ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

Moritz Rosenfeld on August 21, 2017 - 1:41 pm in OSS

Eine raffinierte Hintertür wurde von Angreifern per korrekt signiertem Update an die Netzwerk-Admin-Tools der koreanischen Firma NetSarang ausgeliefert. Es dauerte mehr als zwei Wochen, bis der Spionage-Trojaner im Netz eines Bankinstitutes aufflog.

Siebzehn Tage lang befand sich im Code der Netzwerk-Administrations-Software des koreanischen Herstellers NetSarang eine ausgeklügelte Hintertür, die Angreifern die komplette Kontrolle über das Netzwerk der Anwender verschaffte. Betroffen waren die Programme Xshell, Xmanager, Xftp und Xlpd. Sicherheitsforscher warnen, dass die trojanisierte Software von hunderten großen Firmen wie Banken, Pharmaunternehmen und Energielieferanten eingesetzt wird.

Angriff in Hong Kong

Sicherheitsforscher von Kaspersky hatten die Hintertür im Netzwerk eines Geldinstitutes in Hongkong entdeckt, dem verdächtige DNS-Aufrufe im Zusammenhang mit Finanztransaktionen aufgefallen waren. Bei einer genaueren Untersuchung stellte sich heraus, dass diese von der NetSarang-Software ausgingen. Dabei handelt es sich um Management-Tools für Unix- und Linuxserver. Der Hersteller selbst war bis zum 15. August davon ausgegangen, dass die Sicherheitslücke nicht ausgenutzt worden war. Der von Kaspersky entdeckte Angriff in Hong Kong soll der einzige Fall dieser Art gewesen sein.

Die Hintertür ist laut Kaspersky technisch sehr geschickt umgesetzt. Der Schadcode besteht aus mehreren verschlüsselten Modulen, die nur dann on-the-fly entschlüsselt werden, wenn sie auch wirklich gebraucht werden. Das minimiert das Risiko, dass der Trojaner-Code von Sicherheits-Software enttarnt wird. Die kritischen Teile des Schadcodes wurden nur aktiv, nachdem der Zielrechner vom Kontrollserver der Drahtzieher ein bestimmtes Paket empfangen hatte.

Trojaner in vertrauenswürdigen Updates

Bei dem von Kaspersky ShadowPad getauften Angriff handelt es sich um die zweite Attacke in kürzester Zeit, bei dem ein Software-Hersteller kompromittiert wurde, um über legitime Update-Mechanismen Schadcode bei einem nachgelagerten Ziel einzuschleusen. Sicherheitsforscher hatten lange Zeit vor solchen Angriffen gewarnt, in freier Wildbahn war diese dann im großen Stil zuerst beim Ausbruch des Trojaners NotPetya im Juni diesen Jahres beobachtet worden.

NotPetya war über den Update-Mechanismus einer legitimen Finanzsoftware verteilt worden. Wo bei NotPetya gefälschte Zertifikate zum Einsatz kamen, welche durch den Update-Mechanismus der legitimen Software nicht richtig geprüft wurden, war die bösartige, mit Schadcode trojanisierte DLL nssock2.dll mit gültigen Zertifikaten von NetSarang signiert.

Abseits der Finanzwelt und multinationaler Industriekonglomerate haben Gamer immer wieder mit ähnlichen Attacken zu kämpfen. So wurden etwa asiatische Online-Multiplayer-Spieler wiederholt Opfer von Trojanern, die mit den Installern von Spielen wie League of Legends oder Path of Exile ausgeliefert wurden. Und schon 2013 griff die Hackergruppe Winnti Spiele-Hersteller an, um an die digitalen Zertifikate für deren Software zu kommen und so signierten Schadcode an andere Ziele zu verteilen. Indizien deuten darauf hin, dass auch der aktuelle Angriff von diesen Gruppen stammen könnte. Sicherheitsforscher vermuten, dass die Angriffe von einer organisierten Gruppe aus China kommen.

Wer betroffen ist, was Admins unternehmen sollten

Bei der betroffenen Software handelt es sich um Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 und Xlpd 5.0 Build 1220. Die trojanisierte Software war vom 17. Juli bis zum 4. August 2017 vom Hersteller zu beziehen. Anwender, die eins oder mehrere dieser Produkte im Einsatz haben sollten dieser schnellstmöglich stilllegen und den Anweisungen in der Sicherheitswarnung des Herstellers folgend die Software aktualisieren. Saubere Updates für die Tools müssten demnach am 4. August verteilt worden sein.

NetSarang bestätigt den Angriff auf die eigenen Server. Man habe eine komplett neue Infrastruktur für das Vorbereiten und Ausliefern von Software-Updates in Dienst gestellt und die alten Systeme komplett neu installiert. Alle neu installierten Systeme würden nun auf Sicherheitsbedenken untersucht, bevor man sie mit der neuen Infrastruktur verbinde. (fab)

Read more on: Source

Comments are disabled