Vor zwei Wochen wurde bekannt, dass ein Updater-Tool von ASUS von Hackern im Rahmen eines ShadowHammer-Cyberangriffs kompromittiert und mit einer Backdoor versehen wurde. Nun wurde bekannt, dass auch Spieleentwickler angegriffen wurde.
Anzeige
Die ShadowHammer-Attacke weitet sich wohl aus. Im Blog-Beitrag ShadowHammer: ASUS Live Update mit Backdoor infiziert hatte ich Ende März 2019 berichtet, dass Cyber-Kriminelle den PC-Hersteller ASUS angegriffen hatten. Die Angreifer hatten eine ältere Version des ASUS Live Update-Dienstprogramm in den Binärdateien so modifiziert, dass sie eine Backdoor nachladen konnten. Diese Version des Dienstprogramms wurde dann mit einem von ASUS verwendeten Zertifikat signiert. Den Angreifer gelang es anschließend, in die Herstellkette (Supply Chain) für das ASUS Live Update-Dienstprogramm einzudringen und die kompromittierte Programmversion dort abzulegen. Von dort wurde die infizierte Komponente auf die Systeme der Benutzer verteilt. Sicherheitsanbieter Kaspersky hatt den Angriff entdeckt und veröffentlicht. Weitere Details finden sich in den am Artikelende verlinkten Beiträgen.
Angriff auf Spielehersteller
Im Blog-Beitrag ShadowHammer: ASUS Live Update mit Backdoor infiziert hatte ich in einem Satz erwähnt, dass neben ASUS auch mindestens drei Spiele-Entwicklungsfirmen ebenfalls angegriffen und infiziert wurden. Nun hat Vitaly Kamluk von Kaspersky auf dem Security Analyst Summit in Sigapur Details bekannt gegeben. Gegenüber Heise bestätigte Kamluk, dass das thailändische Unternehmen Electronics Extreme sowie der südkoreanische Anbieter Zepetto erfolgreich angegriffen wurden.
Kasperky gibt an, dass die Angreifer direkten Zugriff auf die Visual Studio Entwicklungsumgebungen der Entwickler hatten. Compilierte ein Entwickler in Microsofts Visual Studio eine ausführbare Programmdatei, die mit einem in der Malware eingetragenen Namen übereinstimmte, schlug die Schadsoftware zu. Stat der zu Visual Studio gehörenden Laufzeitbibiliothek wurde eine von der Schadsoftware installierte und infizierte DLL namens msodb120.dll in das Programmpaket eingebunden. Mit diesem Kniff gelang es, eine Backdoor in die Programme einzubauen, mit der ca. 94.000 Spiele-Rechner in Asien infiziert wurden.
Außerdem wurden laut Heise noch ein Pharmaunternehmen sowie ein großes südkoreanisches Industriekonglomerat als Opfer der Angriffskampagne identifiziert. Laut Kasperky dürften nicht alle Opfer identifiziert worden sein. Der Sicherheitsanbieter geht davon aus, dass weitere Unternehmen angegriffen wurden. Details lassen sich bei Heise nachlesen.
Anzeige
Ähnliche Artikel:
ShadowHammer: ASUS Live Update mit Backdoor infiziert
ShadowHammer Mac-Adressen veröffentlicht
Backdoor: ASUS war seit Monaten vor Risiken gewarnt
Anzeige
