Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer ESET enttarnt neues Cyberwaffen-Arsenal der Winnti-Group

ESET enttarnt neues Cyberwaffen-Arsenal der Winnti-Group

Archivmeldung vom 22.10.2019

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 22.10.2019 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Seiten im Hacker-Visier. Bild: fellex, pixelio.de
Seiten im Hacker-Visier. Bild: fellex, pixelio.de

Wenn die Winnti-Gruppe zu neuen Cyber-Angriffen ansetzt, herrscht Alarmstufe Rot bei Regierungen und Großunternehmen. Denn die professionelle Hackerbande setzt auf innovative Malware und Angriffe auf die sogenannte Supply-Chain, um ihre Opfer auszuspionieren. Den Experten von ESET ist es nun gelungen, das aktuelle Waffen-Arsenal von Winnti zu enttarnen. Dadurch konnten sie einen großen Hersteller von mobiler Soft- und Hardware in Asien vor ernsten Schäden bewahren.

Untersuchungen laufen seit dem Frühjahr auf Hochtouren

Bereits im März 2019 warnten ESET-Forscher vor neuen Supply-Chain-Angriffen ("Lieferketten-Angriffe") von Winnti gegen Videospieler in Asien. Nach dieser Veröffentlichung setzten sie ihre Untersuchungen in zwei Richtungen fort. Zum einen, um die verschiedenen Stufen dieses Angriffs zu erforschen. Zum anderen, um herauszufinden, wie die digitalen Supply-Chains ("Lieferketten") von Unternehmen untergraben wurden, um Malware in ihren Anwendungen bereitzustellen.

"Die Suche nach einem kleinen Stück gut versteckten Codes, der zu einer manchmal riesigen, bestehenden Codebasis hinzugefügt wird, ist wie das Finden einer Nadel im Heuhaufen. Wir haben uns jedoch auf Verhaltensweisen und Code-Ähnlichkeit verlassen, um die Nadel zu erkennen", sagt Marc-Étienne Léveillé, ESET-Forscher, der die Winnti-Gruppe untersucht hat. "Wir waren von dem einzigartigen Packer fasziniert, der bei den jüngsten Angriffen gegen die Gaming-Industrie in Asien eingesetzt wurde. Deshalb wollten wir herausfinden, ob er anderswo auch eingesetzt wurde. Und so war es", fügt er hinzu.

Mit PortReuse und Shadowpad auf Opferjagd

Die Winnti-Gruppe verwendet diesen Packer in einer Backdoor mit dem Namen PortReuse. In Zusammenarbeit mit Censys (einer Suchmaschine für Sicherheitslücken) führte ESET einen internetweiten Scan durch, um Backdoor-Varianten und potenzielle Opfer zu identifizieren. ESET-Forscher konnten so einen großen Hersteller von mobiler Soft- und Hardware in Asien warnen, dass er mit PortReuse kompromittiert wurde. Die Sicherheitsexperten analysierten auch neue Varianten der Backdoor Shadowpad. Diese wurde in der Vergangenheit von Winnti rege genutzt und permanent weiterentwickelt.

So gefährlich sind Supply-Chain-Angriffe

Sogenannte Supply-Chain-Angriffe sind eine neue Art von Bedrohung, die Softwareentwicklern und Lieferanten Kopfzerbrechen bereitet. Das Ziel besteht darin, auf Quellcodes zuzugreifen, Prozesse zu erstellen oder Mechanismen zu aktualisieren, indem legitime Apps zum Verteilen von Malware infiziert werden. Durch die Modifikation vertrauenswürdiger Software innerhalb der Lieferkette können Angreifer die Prozesse der Opfer ausspionieren oder sogar manipulieren. Bestes Beispiel dafür ist das Schadprogramm Petya, das in 2017 über eine Steuerberatungssoftware verteilt wurde.

Mehr Details und Whitepaper auf WeLiveSecurity.de

Weitere technische Details finden Sie im Blogbeitrag "Connecting the dots: Exposing the arsenal and methods of the Winnti Group" auf WeLiveSecurity.de und im kostenlosen Whitepaper. Dies beschreibt die Zusammenhänge zwischen den Vorfällen, der Malware und den verwendeten Techniken.

Weblink: https://www.welivesecurity.com/deutsch/2019/10/15/winnti-group-update-reuse-backdoor

Quelle: www.eset.com/de/Christian Lueg

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte ostern in folgendes Feld um den Spam-Filter zu umgehen

Anzeige