MÜNCHEN (IT BOLTWISE) – Chinesische Hackergruppen schrecken jetzt auch nicht mehr davor zurück, die Systeme von Providern zu übernehmen, um ihre Spionage-Malware möglichst effektiv zu verbreiten. Mit einem Man-in-the-Middle-Angriff wurden so gefälschte Software-Updates verteilt.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Chinesische Hackergruppen, insbesondere die unter dem Namen StormBamboo bekannte Gruppe, haben nun auch Internet-Provider als Ziel für ihre Angriffe ins Visier genommen. Diese Angreifer, die auch als Evasive Panda, Daggerfly und StormCloud bekannt sind, nutzen Man-in-the-Middle-Angriffe, um gefälschte Software-Updates zu verbreiten. Dies geht aus einem Bericht des Sicherheitsunternehmens Volexity hervor, der am Freitag veröffentlicht wurde.
Laut dem Bericht hat StormBamboo einen nicht näher benannten Internet-Provider kompromittiert. Dabei wurden Rechner von Kunden des Providers, die nach bestimmten Software-Updates suchten, von manipulierten DNS-Datenbanken auf Server umgeleitet, die von den Angreifern kontrolliert wurden. Auf diese Weise konnten gefälschte Updates verteilt werden, die mit Malware infiziert waren.
Die Angreifer setzten auf Anwendungen, bei denen der Bezug von Updates nicht ausreichend gegen solche Attacken abgesichert ist. Dazu gehören beispielsweise Systeme, die keinen Hash-Abgleich durchführen oder Signaturen prüfen, um die Authentizität der heruntergeladenen Software zu verifizieren.
Ein konkretes Beispiel für die betroffenen Anwendungen ist die Wiedergabe-Software 5KPlayer. Diese Software lädt unter anderem Komponenten der youtube-dl-Bibliothek aus externen Quellen, um mit verschiedenen Medienformaten umgehen zu können. StormBamboo nutzte dies aus, um ein Backdoor-Installationsprogramm auf die Rechner der Nutzer zu bringen.
Die Sicherheitsforscher von Volexity beobachteten, dass StormBamboo mehrere Softwareanbieter ins Visier nahm, die unsichere Update-Workflows verwenden. Gemeinsam mit den Mitarbeitern des betroffenen Providers konnten sie jedoch die Angriffe stoppen.
Diese Vorfälle zeigen einmal mehr die Notwendigkeit, Update-Prozesse sicherer zu gestalten und Schutzmaßnahmen gegen Man-in-the-Middle-Angriffe zu implementieren. Nur so kann verhindert werden, dass Hacker durch kompromittierte Updates Malware verbreiten und Spionage betreiben können.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.