{"id":241083,"date":"2020-12-28T09:16:19","date_gmt":"2020-12-28T08:16:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241083"},"modified":"2023-10-21T01:25:51","modified_gmt":"2023-10-20T23:25:51","slug":"bka-warnung-von-china-spionage-durch-goldenspy","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/28\/bka-warnung-von-china-spionage-durch-goldenspy\/","title":{"rendered":"BKA-Warnung von China-Spionage durch GoldenSpy"},"content":{"rendered":"

[English<\/a>]Das Bundeskriminalamt (BKA) hat bereits im August 2020 eine Warnung vor chinesischen Spioanageaktivit\u00e4ten gegen\u00fcber deutschen Firmen ver\u00f6ffentlicht, die in China Gesch\u00e4ftsbeziehungen unterhalten.<\/p>\n

<\/p>\n

\"\"So ganz neu ist das Thema nicht – ich hatte bereits im Juni 2020 im Blog-Beitrag China und die Spyware in Softwareprodukten<\/a> \u00fcber den Sachverhalt berichtet. Zum Jahresabschluss und in Anbetracht der SolarWinds SOLARBURST-Spionageaktion, die vor allem die USA getroffen hat, holte ich das Thema nach einem Leserhinweise nochmals hervor.<\/p>\n

Warnung bereits im August 2020<\/h2>\n

Der Sachverhalt seinerzeit: Anfang 2020 wurde ein multinationaler Technologieanbieter, der in China gesch\u00e4ftlich t\u00e4tig ist, von seiner chinesischen Bank angewiesen, Software zu installieren, um lokale Steuern zu zahlen. Die Steuersoftware selbst war legitim, aber darin eingebettet war eine b\u00f6se \u00dcberraschung. Aus einem neuen Bericht einer privaten Sicherheitsfirma geht hervor, dass die Software infiziert war. Im Programm war ein ausgekl\u00fcgeltes St\u00fcck Malware integriert, das Angreifern vollst\u00e4ndigen Zugang zum Firmennetzwerk verschaffte.<\/p>\n

Die Firma Trustwave, die den Fall aufgedeckt hat, nannte die b\u00f6sartige Software \u201eGoldenSpy\" und warnt in einem am Donnerstag ver\u00f6ffentlichten Bericht andere, ihre Netzwerke danach zu durchsuchen. \u201eWenn Sie gesch\u00e4ftlich in China aktiv sind und wenn Sie jemand bittet, etwas zu installieren, rufen wir zu zus\u00e4tzlicher Wachsamkeit auf\", sagte Hussey. \u201eWir bitten alle dringend, zu pr\u00fcfen, ob sie betroffen sind.\"<\/p>\n

Trustwave hat zwar keine Details zum Kunden und zum Fall genannt. Die Malware scheint seit April 2020 aktiv zu sein, und man geht davon aus, dass staatliche Akteure aus China die Finger im Spiel haben. Weitere Details sind diesem Artikel<\/a> zu entnehmen.<\/p>\n

Warnung des BKA vor GoldenSpy<\/h2>\n

Blog-Leser Robert G. hat mich heute per Mail auf eine Warnung des BKA hingewiesen, die genau auf das Thema GoldenSpy abstellt (danke daf\u00fcr). Robert arbeitet in einem Unternehmen und fragt, ob jemand Erfahrungen mit dem Thema hat. In dieser Meldung<\/a> vom August 2020 warnt das BKA allgemein:<\/p>\n

Der Cyberabwehr des Bundesamtes f\u00fcr Verfassungsschutz (BfV<\/abbr>) sowie dem Bundeskriminalamt (BKA<\/abbr>) liegen Erkenntnisse vor, dass deutsche Unternehmen mit Sitz in China m\u00f6glicherweise mittels der Schadsoftware GOLDENSPY ausgesp\u00e4ht werden. Ziel dieser gemeinsamen Warnmeldung ist es, deutsche Wirtschaftsunternehmen zu sensibilisieren und mit den notwendigen technischen Informationen zu versehen, um eine m\u00f6gliche Infektion detektieren zu k\u00f6nnen.<\/p><\/blockquote>\n

Das BKA bezieht sich in der Meldung auf keinen speziellen Fall, sondern bezieht sich auf Hinweise von 'Sicherheitsunternehmen' sowie eine Warnung des FBI<\/a> (vorm Juni 2020)\u00a0 vor m\u00f6glichen GoldenSpy-Infektionen. Der Sachverhalt ist oben bereits skizziert:<\/p>\n

Ausl\u00e4ndische Unternehmen, die in China aktiv sind, sind verpflichtet eine Steuersoftware zu installieren, um automatisiert und softwaregest\u00fctzt Steuerabgaben an das zust\u00e4ndige Finanzamt abzuf\u00fchren sowie Finanztransaktionen abzuwickeln. Dabei soll es sich um die legitime chinesische Steuersoftware INTELLIGENT TAX (auch GOLDENTAX genannt) handeln. Durch die Installation dieser legitimen Software soll jedoch eine Spionagesoftware mit dem Namen GOLDENSPY nachgeladen werden, durch die Dritte Zugriff auf die Netzwerke der betroffenen Unternehmen erlangen.<\/p><\/blockquote>\n

BfV<\/abbr> und BKA<\/abbr> haben dann die bekannten technischen Parameter zusammengetragen und um eigene Erkenntnisse erg\u00e4nzt. Diese werden mit dieser Warnmeldung zum Schutz deutscher Wirtschaftsunternehmen zur Verf\u00fcgung gestellt.<\/p>\n

Gem\u00e4\u00df den Erkenntnissen von IT<\/abbr>-Dienstleistern kann nach Ausf\u00fchrung der legitimen Steuersoftware die zus\u00e4tzliche Datei plugins.exe <\/em>ausgef\u00fchrt und dadurch automatisiert und ohne Mitteilung an den Nutzer nach ca.<\/abbr> zwei Stunden die GOLDENSPY-Software im betroffenen System nachgeladen und installiert werden. Dadurch k\u00f6nnten Dritte vollumf\u00e4ngliche Zugriffsm\u00f6glichkeiten inklusive Administratorenrechte erhalten.<\/p>\n

Durch die Installation von GOLDENSPY wird eine weitere Datei mit der Bezeichnung svminstaller.exe<\/em> nachgeladen, die zwei identische .exe-Dateien mit der Bezeichnung svm.exe<\/em> und svmm.exe<\/em> im System der betroffenen Opferinstalliert (dabei handelt es sich um zwei identische Versionen von GOLDENSPY), welche von der Domain ningzhidata[.]com <\/em>\u00fcbertragen werden. Die beiden Dateien weisen die folgenden Backdoor-F\u00e4higkeiten auf:<\/p>\n