ESET enttarnt neues Cyberwaffen-Arsenal der Winnti-Group

Nächste PM

Jena, 21. Oktober 2019 – Wenn die Winnti-Gruppe zu neuen Cyber-Angriffen ansetzt, herrscht Alarmstufe Rot bei Regierungen und Großunternehmen. Denn die professionelle Hackerbande setzt auf innovative Malware und Angriffe auf die sogenannte Supply-Chain, um ihre Opfer auszuspionieren. Den Experten von ESET ist es nun gelungen, das aktuelle Waffen-Arsenal von Winnti zu enttarnen. Dadurch konnten sie einen großen Hersteller von mobiler Soft- und Hardware in Asien vor ernsten Schäden bewahren.

Untersuchungen laufen seit dem Frühjahr auf Hochtouren

Bereits im März 2019 warnten ESET-Forscher vor neuen Supply-Chain-Angriffen („Lieferketten-Angriffe“) von Winnti gegen Videospieler in Asien. Nach dieser Veröffentlichung setzten sie ihre Untersuchungen in zwei Richtungen fort. Zum einen, um die verschiedenen Stufen dieses Angriffs zu erforschen. Zum anderen, um herauszufinden, wie die digitalen Supply-Chains („Lieferketten“) von Unternehmen untergraben wurden, um Malware in ihren Anwendungen bereitzustellen.

"Die Suche nach einem kleinen Stück gut versteckten Codes, der zu einer manchmal riesigen, bestehenden Codebasis hinzugefügt wird, ist wie das Finden einer Nadel im Heuhaufen. Wir haben uns jedoch auf Verhaltensweisen und Code-Ähnlichkeit verlassen, um die Nadel zu erkennen", sagt Marc-Étienne Léveillé, ESET-Forscher, der die Winnti-Gruppe untersucht hat. "Wir waren von dem einzigartigen Packer fasziniert, der bei den jüngsten Angriffen gegen die Gaming-Industrie in Asien eingesetzt wurde. Deshalb wollten wir herausfinden, ob er anderswo auch eingesetzt wurde. Und so war es", fügt er hinzu.

Mit PortReuse und Shadowpad auf Opferjagd

Die Winnti-Gruppe verwendet diesen Packer in einer Backdoor mit dem Namen PortReuse. In Zusammenarbeit mit Censys (einer Suchmaschine für Sicherheitslücken) führte ESET einen internetweiten Scan durch, um Backdoor-Varianten und potenzielle Opfer zu identifizieren. ESET-Forscher konnten so einen großen Hersteller von mobiler Soft- und Hardware in Asien warnen, dass er mit PortReuse kompromittiert wurde. Die Sicherheitsexperten analysierten auch neue Varianten der Backdoor Shadowpad. Diese wurde in der Vergangenheit von Winnti rege genutzt und permanent weiterentwickelt.

So gefährlich sind Supply-Chain-Angriffe

Sogenannte Supply-Chain-Angriffe sind eine neue Art von Bedrohung, die Softwareentwicklern und Lieferanten Kopfzerbrechen bereitet. Das Ziel besteht darin, auf Quellcodes zuzugreifen, Prozesse zu erstellen oder Mechanismen zu aktualisieren, indem legitime Apps zum Verteilen von Malware infiziert werden. Durch die Modifikation vertrauenswürdiger Software innerhalb der Lieferkette können Angreifer die Prozesse der Opfer ausspionieren oder sogar manipulieren. Bestes Beispiel dafür ist das Schadprogramm Petya, das in 2017 über eine Steuerberatungssoftware verteilt wurde.

Mehr Details und Whitepaper auf WeLiveSecurity.de

Weitere technische Details finden Sie im Blogbeitrag "Connecting the dots: Exposing the arsenal and methods of the Winnti Group" auf WeLiveSecurity.de und im kostenlosen Whitepaper. Dies beschreibt die Zusammenhänge zwischen den Vorfällen, der Malware und den verwendeten Techniken.

https://www.welivesecurity.com/deutsch/2019/10/15/winnti-group-update-reuse-backdoor

Pressekontakt

Thorsten Urbanski
Head of Communication & PR DACH
+49 3641 3114 261
thorsten.urbanski@eset.de

Michael Klatte
PR-Manager
+49 3641 3114 257
michael.klatte@eset.de

Christian Lueg
PR-Manager
+49 3641 3114 269
christian.lueg@eset.de

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.