Bei sogenannten Supply-Chain-Attacken injizieren Hacker ihren Code in Software, noch bevor diese digital signiert über legitime Kanäle in Umlauf kommt. Auf den ersten Blick könnte man meinen, dass so vor allem viele Opfer zu erreichen sind. "Wir haben aber gesehen, dass auch Angriffsakteure aus dem zielgerichteten Bereich diese Methode nutzen", betont Christian Funk, Head of Global Research & Analysis Team DACH (Deutschland, Österreich, Schweiz) bei Kaspersky. Dabei zeigen sich interessante Verbindungen zwischen verschiedenen Kampagnen.
2019 hat insbesondere die Operation "Shadowhammer" für Aufsehen gesorgt. Im Januar ist Anwendern zunächst aufgefallen, dass sich das vermeintlich legitime Live Update von Asus seltsam verhält. Schnell wurde klar: Über die Asus-Seite selbst waren zeitweise verseuchte Versionen mit Asus-Zertifikat in Umlauf gelangt. Wenngleich dies potenziell Millionen Notebook-User betraf, bestand für die meisten davon aber wohl keine reale Gefahr. Denn die insgesamt 230 Varianten des verseuchten Programms enthielten etwas mehr als 400 MAC-Adressen von Netzwerkadaptern und nur die Geräte mit eben diesen Adressen waren eigentliches Ziel.
Das zeigt auch, wie schwer es auszumachen ist, worum es den Kriminellen bei dem Angriff wirklich geht. Denn die MAC-Adressen sind eine sehr spezifische, aber nur bedingt hilfreiche Information. "Was wir feststellen konnten, waren die Gerätehersteller", erklärt Funk. Dazu zählten neben grossen Namen wie Asus selbst oder Intel, doch in einigen Fällen auch ungewöhnliche wie VMWare. Wer allerdings im Besitz der jeweiligen Geräte ist, sei nicht leicht nachzuvollziehen - und damit auch nicht, worauf die Angreifer wirklich aus waren.
Dafür deutet Shadowhammer darauf hin, dass es Verbindungen zwischen verschiedenen Supply-Chain-Angriffen gibt, also die gleichen Akteure dahinter stecken. So gab es Shadowhammer-ähnliche Angriffe bei drei Games-Herstellern, die ihrerseits möglicherweise über einen Supply-Chain-Angriff kompromittiert wurden. Denn alle drei sind Kunden des Connectivy-Solutions-Anbieters Netsarang, dessen Software 2017 von "Shadowpad" kompromittiert war. Der Angriff übertrug damals Host, Domain und Username eines infizierten Rechners an einen Kontrollserver, der dann entscheiden konnte, ob die eigentliche Malware-Payload wirklich aktiviert wird.
Eine ähnliche Attacke wiederum gab es 2017 auch via dem bekannten Systemoptimierungs-Tool CCleaner. Hier sei laut Mutterunternehmen Avast eben Asus ein Ziel gewesen. Zudem haben Kaspersky-Analysten bei Shadowhammer auch Code-Fragmente gefunden, die exakt einer älteren Malware names "PlugX" oder "Winnti" entsprechen. "Es ist davon auszugehen, dass die gleichen Akteure tätig waren oder zumindest eine Splittergruppe", meint Funk. Wer genau diese Hinterleute sind, ist aber schwierig zu klären.
"Wir sprechen vom obersten einen oder 0,1 Prozent der Angreifer, was die Raffinesse betrifft", betont Funk. Diese verschleiern ihre Spuren sehr gut. Bei Shadowpad beispielsweise ist kaum nachzuvollziehen, wer die eigentlichen Ziele waren. Denn allenfalls hätten vom Kontrollserver ausgelesene Daten darüber Aufschluss geben können - zumindest, falls der Entscheidungsprozess automatisiert war. Undurchsichtig bleibt somit auch, auf wen es die Hinterleute von Supply-Chain-Agriffen abgesehen haben und worauf sie wirklich aus sind. Die sehr zielgerichtet vorgehenden Akteure hinter Shadowhammer dürften es Funk zufolge wohl auf Daten und Informationen abgesehen haben - doch welche, das ist unklar. "Möglicherweise gibt es kein definitives Endziel, sondern das ist eher heuschreckenartig", meint der Experte.
