Backdoor per Software-Update: Cyberkriminelle schleusen Malware in Admin-Tools ein

Unbekannten ist es gelungen, eine Hintertür in mehrere Admin-Tools von Netsarang einzubauen. Der Hersteller lieferte die manipulierten Versionen eine Zeit lang selbst aus, bevor die Manipulation auffiel. Die Anwendungen werden weltweit von hunderten Unternehmen eingesetzt.

(Foto: sheelamohanachandran - Fotolia)

So genannte Supply-Chain-Angriffe, bei denen Cyberkriminelle einem Software-Hersteller manipulierte Anwendungen unterschieben, die dieser dann über seine Download-Angebote und Update-Mechanismen verteilt, sind relativ selten. Nun sind aber binnen kürzester Zeit gleich zwei solcher Angriffe bekannt geworden. Bereits die Petya-Malware, die Ende Juni zahlreiche Unternehmen lahmlegte, war in der Ukraine versteckt in einer regulären Finanzsoftware in Umlauf gebracht worden. Und nun vermeldet Kaspersky, dass sich in gleich mehrere Admin-Tools von Netsarang eine Backdoor befand.

Betroffen waren die Anwendungen »Xmanager Enterprise 5 Build 1232«, »Xmanager 5 Build 1045, »Xshell 5 Build 1322«, »Xftp 5 Build 1218«, »Xlpd 5 Build 1220«, die von vielen Unternehmen weltweit zur Verwaltung von Systemen im Netzwerk oder für Dateiübertragungen genutzt werden. Die Hintertür fiel auf, nachdem ein Kaspersky-Kunde aus der Finanzbranche verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen entdeckte. Die Experten des russischen Sicherheitsspezialisten identifizierten anschließend die Netsarang-Tools als Quelle.

Im Verlauf der Untersuchung stellte sich heraus, dass diese bereits infiziert von Hersteller verteilt worden waren – Cyberkriminelle hatten die Software unentdeckt manipulieren können. Kaspersky zufolge war der Schadcode mehrfach verschlüsselt und wartete auf ein spezielles Paket, um aktiviert zu werden. So schaffte er es, sich an Sicherheitsanwendungen vorbeizumogeln. Es wurden lediglich einige Basisinformationen zu den infizierten Systemen an die Command-and-Control-Server gesendet. Wahrscheinlich um zu erkunden, ob es sich um brauchbare Ziele handelt, auf denen es sich lohnt, die Schadfunktionen zu aktivieren.

Nachdem Netsarang von Kaspersky informiert worden war, wurden schnell aktualisierte, schadcodefreie Versionen der Anwendungen bereitgestellt. Firmen, welche die Tools einsetzen, sollten auf die neuesten Ausgaben aktualisieren, da in den älteren noch die Backdoor zu finden sein könnte. Außerdem sollten alle Systeme auf DNS-Anfragen zu ungewöhnlichen Domains geprüft werden, empfiehlt Kaspersky, das den Angriff »Schadowpad« getauft hat.

»Shadowpad ist ein Beispiel dafür, wie gefährlich und umfassend ein erfolgreicher Supply-Chain-Angriff sein kann«, so Igor Soumenkov, Security Expert im Global Research and Analysis Team des Herstellers. »Die Möglichkeiten bezüglich der Reichweite und der von den Angreifern gesammelten Daten machen es wahrscheinlich, dass so etwas zukünftig immer wieder mit anderen, weit verbreiteten Softwarekomponenten passieren könnte.«

Bei Netsarang erklärte man, es sein ein neues System eingeführt worden, dass sicherstellen soll, dass sich die Auslieferung eines kompromittierten Produkts nicht wiederholt. »Damit wollen wir nicht nur die Aktivitäten von Cyberspionage-Gruppen in aller Welt bekämpfen, sondern auch das Vertrauen unserer treuen Kundenbasis zurückgewinnen«, so der Software-Anbieter.