NetSarang. Backdoor Programm entdeckt.

NetSarang ist eine Software zum Management von Servern, das weltweit bei Hunderten von Großunternehmen im Einsatz ist. Die Cyber-Sicherheitsexperten von Kapersky haben in dieser Software ein Backdoor-Programm entdeckt. Wird dieses aktiviert, können Angreifer damit weitere schädliche Module herunterladen oder Daten stehlen.

NetSarang. Backdoor entdeckt. Grafik: Kapersky

Kapersky Lab informiert NetSarang.

Kaspersky Lab hat den Hersteller der betroffenen Software, NetSarang, informiert; daraufhin wurde der Schadcode sofort entfernt und ein Update für Kunden bereitgestellt.

ShadowPad gehört zu den größten, bislang bekannten Supply-Chain-Angriffen. Wäre ShadowPad nicht so schnell entdeckt und gepatched worden, hätten weltweit hunderte Organisationen angegriffen werden können.

Das Global Research and Analysis Team (GReAT) von Kaspersky Lab wurde im Juli 2017 von einem seiner Partner, einer Finanzinstitution, kontaktiert, weil deren Sicherheitsexperten über verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen besorgt waren. Die weitere Untersuchung identifizierte die Server-Management-Software eines seriösen Herstellers als Quelle dieser Anfragen. Das Produkt ist weltweit bei Hunderten von Kunden aus den Branchen Finanzdienstleistung, Bildung und Erziehung, Telekommunikation, Produktion und Transport im Einsatz. Besonders besorgniserregend war allerdings die Tatsache, dass der Hersteller die DNS-Anfragen in seiner Software nicht beabsichtigt hatte.

Tatsächlich konnten die Experten von Kaspersky Lab im Verlauf der Untersuchung als Ursache der Anfragen die Aktivitäten eines schädlichen Moduls ausmachen, das in der aktuellen Version der legitimen Software versteckt war. Nach erfolgreicher Installation hätte es je einmal innerhalb von acht Stunden DNS-Anfragen an bestimmte Domains – seine Command-and-Control (C&C)-Server – gesendet und dabei grundlegende Informationen über das infizierte System wie die Namen von User, Domain und Host weitergegeben. Bei für Angreifer interessanten Systemen hätte der Command Server antworten und eine vollwertige Backdoor-Plattform aktivieren können, welche sich heimlich im angegriffenen Rechner festgesetzt hätte. Das Backdoor wiederum hätte auf Befehl der Angreifer dort weiteren schädlichen Code downloaden und ausführen können.

Nach ihrer Entdeckung informierten die Experten von Kaspersky Lab unverzüglich NetSarang. Das Unternehmen reagierte rasch und veröffentlichte eine aktualisierte, Schadcode-freie Version der Software.

Backdoor in Hongkong aktiviert.

Die Untersuchung von Kaspersky Lab ergab, dass das schädliche Modul bislang in Hongkong aktiviert wurde, es jedoch noch auf zahlreichen weiteren Systemen in aller Welt schlummern könnte, besonders wenn dort nicht bereits die aktualisierte Version der betroffenen Software installiert wurde.

Bei der Analyse der Tools, Techniken und Arbeitsweise der Angreifer haben die Cybersicherheitsexperten gewisse Ähnlichkeiten zu den PlugX-Malware-Varianten der bekannten, chinesischsprachigen Cyberspionage-Gruppe Winnti APT entdeckt. Die Indizien sind jedoch zu schwach, um einen eindeutigen Bezug zu dieser Gruppe herzustellen.

Statement von NetSarang

„Um sich der ständig verändernden Landschaft von Cyberangriffen entgegen zu stellen, nutzt NetSarang verschiedene Methoden und Maßnahmen, um seine Produktlinien vor Kompromittierung, Infektionen und dem Missbrauch durch Cyberspionage-Gruppen zu schützen. Bedauerlicherweise wurde am 18. Juli 2017 die ,Build Release‘ unserer vollständigen Produktlinie ohne unser Wissen mit einem Backdoor ausgeliefert, die deren Entwickler auch hätten nutzen können.“

„Wir legen höchste Priorität auf die Sicherheit unserer Kunden und Anwender und fühlen uns letztlich dafür verantwortlich. Dass Gruppen und Organisationen mit schädlichen Absichten legitime, kommerzielle Software für ihre rechtswidrigen Zwecke zu nutzen versuchen, ist ein wachsendes, besorgniserregendes Phänomen, das von NetSarang sowie weiteren Akteuren der Software-Industrie sehr ernst genommen wird.“

„NetSarang fühlt sich der Wahrung der Privatsphäre seiner Anwender verpflichtet und hat ein noch widerstandsfähigeres System eingeführt, welches sicherstellt, dass sich die Auslieferung eines kompromittierten Produkts nicht wiederholen wird. NetSarang wird weiterhin den Fokus auf Sicherheit legen und diese verbessern. Damit wollen wir nicht nur die Aktivitäten von Cyberspionage-Gruppen in aller Welt bekämpfen, sondern auch das Vertrauen unserer treuen Kundenbasis zurückgewinnen.“

Die Lösungen von Kaspersky Lab erkennen und schützen vor der Malware ShadowPad unter dem Namen „Backdoor.Win32.ShadowPad.a“.

Kommentar verfassen