Supply-Chain-Attacken: Raffinierte Bedrohung

Autor: Kathrin Helmreich

Supply-Chain-Attacken: Attacken mit Massen-Trick im Trend

Eigentlicher Zweck zielgerichteter Attacken bleibt laut Analyse von Kaspersky häufig unklar

Bei sogenannten Supply-Chain-Attacken injizieren Hacker ihren Code in Software, noch bevor diese digital signiert über legitime Kanäle in Umlauf kommt. Auf den ersten Blick könnte man meinen, dass so vor allem viele Opfer zu erreichen sind.

„Wir haben aber gesehen, dass auch Angriffsakteure aus dem zielgerichteten Bereich diese Methode nutzen“,

betont Christian Funk, Head of Global Research & Analysis Team DACH bei Kaspersky, beim Pressegespräch in Wien. Dabei zeigen sich interessante Verbindungen zwischen verschiedenen Kampagnen.

Operation „Shadowhammer“

2019 hat insbesondere die Operation „Shadowhammer“ für Aufsehen gesorgt. Im Januar ist Usern zunächst aufgefallen, dass sich das vermeintlich legitime Live Update von Asus seltsam verhält.

Schnell wurde klar: Über die Asus-Seite selbst waren zeitweise verseuchte Versionen mit Asus-Zertifikat in Umlauf gelangt. Wenngleich dies potenziell Millionen Notebook-User betraf, bestand für die meisten davon aber wohl keine reale Gefahr.

[mk_ad]

Denn die insgesamt 230 Varianten des verseuchten Programms enthielten etwas mehr als 400 MAC-Adressen von Netzwerkadaptern und nur die Geräte mit eben diesen Adressen waren eigentliches Ziel.

Das zeigt auch, wie schwer es auszumachen ist, worum es den Kriminellen bei dem Angriff wirklich geht. Denn die MAC-Adressen sind eine sehr spezifische, aber nur bedingt hilfreiche Information.

„Was wir feststellen konnten, waren die Gerätehersteller“,

erklärt Funk auf Nachfrage von pressetext. Dazu zählten neben großen Namen wie Asus selbst oder Intel, doch in einigen Fällen auch ungewöhnliche wie VMWare.

Wer allerdings im Besitz der jeweiligen Geräte ist, sei nicht leicht nachzuvollziehen – und damit auch nicht, worauf die Angreifer wirklich aus waren.

Angriffsverbindungen

Dafür deutet Shadowhammer darauf hin, dass es Verbindungen zwischen verschiedenen Supply-Chain-Angriffen gibt, also die gleichen Akteure dahinter stecken. So gab es Shadowhammer-ähnliche Angriffe bei drei Games-Herstellern, die ihrerseits möglicherweise über einen Supply-Chain-Angriff kompromittiert wurden.

Denn alle drei sind Kunden des Connectivy-Solutions-Anbieters NetSarang, dessen Software 2017 von „ShadowPad“ kompromittiert war. Der Angriff übertrug damals Host, Domain und Username eines infizierten Rechners an einen Kontrollserver, der dann entscheiden konnte, ob die eigentliche Malware-Payload wirklich aktiviert wird.

Eine ähnliche Attacke wiederum gab es 2017 auch via dem bekannten Systemoptimierungs-Tool CCleaner. Hier sei laut Mutterunternehmen Avast eben Asus ein Ziel gewesen. Zudem haben Kaspersky-Analysten bei Shadowhammer auch Code-Fragmente gefunden, die exakt einer älteren Malware names „PlugX“ oder „Winnti“ entsprechen.

„Es ist davon auszugehen, dass die gleichen Akteure tätig waren oder zumindest eine Splittergruppe“,

meint Funk. Wer genau diese Hinterleute sind, ist aber schwierig zu klären.

Supply-Chain-Agriffen sind unglaublich professionell

„Wir sprechen vom obersten einen oder 0,1 Prozent der Angreifer, was die Raffinesse betrifft“,

betont Funk. Diese verschleiern ihre Spuren sehr gut. Bei ShadowPad beispielsweise ist kaum nachzuvollziehen, wer die eigentlichen Ziele waren. Denn allenfalls hätten vom Kontrollserver ausgelesene Daten darüber Aufschluss geben können – zumindest, falls der Entscheidungsprozess automatisiert war.

Undurchsichtig bleibt somit auch, auf wen es die Hinterleute von Supply-Chain-Agriffen abgesehen haben und worauf sie wirklich aus sind. Die sehr zielgerichtet vorgehenden Akteure hinter Shadowhammer dürften es Funk zufolge wohl auf Daten und Informationen abgesehen haben – doch welche, das ist unklar.

„Möglicherweise gibt es kein definitives Endziel, sondern das ist eher heuschreckenartig“,

meint er auf Nachfrage von pressetext.

Quelle: pressetext
Artikelbild: Shutterstock / Von kentoh
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.