Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov  
Most Popular Analysis



Entwicklung der IT-Bedrohungen im 3. Quartal 2014



Spam im September 2014



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013



Das nigerianische Erbe erwartet Sie



Spam im August 2014
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Das ist kein Kinderspiel!

15.04.2013   |   Ihr Kommentar

Global Research and Analysis Team of Kaspersky Lab

Inhalt

Einleitung

Die Untersuchungen von Kaspersky Lab zu dem hier geschilderten Fall begannen im Herbst 2011 und sind bis heute nicht abgeschlossen. Ermittlungsgegenstand ist eine Reihe von zielgerichteten Attacken auf private Unternehmen rund um den Erdball.

Im Rahmen der Ermittlungen deckten wir eine Hacker-Gruppe chinesischer Herkunft auf. Diese Gruppe wurde auf den Namen "Winnti" getauft.

Unseren Einschatzungen zufolge ist die Gruppe bereits seit mehreren Jahren aktiv und auf Cyberattacken gegen Unternehmen aus der Branche Online-Games spezialisiert. Das Hauptziel dieser Gruppe liegt im Diebstahl von Quellcodes von Online-Game-Projekten sowie von digitalen Zertifikaten offizieller Software-Anbieter. Daruber hinaus hat die Gruppe ein vitales Interesse an den Einstellungen von Netzwerk-Infrastrukturen (inklusive Game-Produktionsserver) und Neuentwicklungen wie Konzeptideen, Designs usw.

Wir waren nicht die Ersten, die diese Gruppe ins Visier nahmen, und Ermittlungen zu den Attacken, die auf ihr Konto gehen, einleiteten. Es ist bekannt, dass spatestens 2010 die US-amerikanische Firma HBGary einen IT-Sicherheitsvorfall bei einem ihrer Kunden untersuchte, die mit der Winnti-Gruppe in Verbindung gebracht wird – ein amerikanischer Entwickler und Anbieter von Video-Spielen.

Im Herbst 2011 wurde auf den Rechnern von sehr vielen Spielern eines popularen Online-Games ein Trojaner gefunden. Wie sich herausstellte, gelangte das Schadprogramm zusammen mit Spiel-Updates vom offiziellen Update-Server auf die Computer. Viele verdachtigten sogar das Unternehmen selbst, ihre eigenen Nutzer auszuspionieren. Doch das Schadprogramm war aus Versehen auf den Rechnern gelandet – die Cyberkriminellen hatten nicht die Spieler im Visier, sondern vielmehr die Unternehmen, die Computerspiele entwickeln und veroffentlichen.

Winnti

Der Spiele-Entwickler, von dessen Servern aus der Trojaner verbreitet wurde, wandte sich an Kaspersky Lab und bat darum, das Schadprogramm zu analysieren, das Mitarbeiter des Unternehmens auf dem Update-Server gefunden hatten. Es zeigte sich, dass es sich um eine DLL-Bibliothek fur 64-Bit-Versionen von Windows handelte. Diese enthielt sogar einen korrekt signierten schadlichen Treiber!

Das schadliche Modul erwies sich als die erste, uns bekannte trojanische Anwendung fur die 64-Bit-Version von Microsoft Windows mit einer gultigen digitalen Signatur. Wir hatten es schon vorher mit ahnlichen Fallen zu tun, doch dabei handelte es sich stets um gefalschte Signaturen fur 32-Bit-Anwendungen.

Die schadliche Bibliothek fand sich auf Computern sowohl mit 32-Bit- als auch mit 64-Bit- Betriebssystemen. Wahrend die Bibliothek auf 32-Bit-Systemen nicht gestartet werden konnte, lie? sie sich auf 64-Bit-Systemen unter gewissen Bedingungen und ohne Wissen des Anwenders ausfuhren. Allerdings haben wir derartige Falle nicht beobachtet.

Die entdeckte DLL verfugte uber die Funktionalitat eines Backdoors, genauer gesagt eines vollwertigen RAT (Remote Administration Tool, ein Tool zur entfernten Steuerung). Den Cyberkriminellen eroffnete es die Moglichkeit, einen infizierten Computer fur den Anwender unbemerkt zu kontrollieren.

Bereits ganz zu Beginn unserer Untersuchungen fanden wir in unserer Schadprogrammsammlung eine ganze Gruppe ahnlicher Backdoors sowohl fur 32-Bit- als auch fur 64-Bit-Systeme. Diese werden unter verschiedenen Namen erkannt, so dass wir sie in einer gemeinsamen Familie zusammenfassten. Allem Anschein nach gab Symantec diesen Schadprogrammen als erstes einen Namen:  Winnti. Dementsprechend haben wir diesen fur die neue Familienbezeichnung ubernommen – Backdoor.Win32(Win64).Winnti. Die Personen, die hinter den Attacken stehen, bezeichnen wir folglich als „Winnti-Gruppe“.

Interessanterweise gehorte die digitale Signatur einem anderen Anbieter von Video-Spielen, dem privaten Unternehmen KOG aus Sudkorea. Das Kerngeschaft dieses Unternehmens waren MMRPG-Games, was wiederum mit dem Geschaftszweig des ersten Opfers ubereinstimmte.

Wir kontaktierten KOG, dessen Zertifikat verwendet worden war, um schadliche Software zu signieren, und benachrichtigten auch Verisign, das das Zertifikat fur KOG ausgegeben hatte. Das Zertifikat wurde daraufhin zuruckgezogen.

Digitale Zertifikate

Als wir das erste gestohlene digitale Zertifikat entdeckten, war uns nicht bewusst, dass der Diebstahl von digitalen Zertifikaten und das Signieren von Malware fur kunftige Attacken gegen andere Opfer die bevorzugte Methode dieser Gruppe ist. Innerhalb von achtzehn Monaten entdecken wir mehr als ein Dutzend derart kompromittierter digitaler Zertifikate.

Zudem fanden wir heraus, dass diese Zertifikate offensichtlich in Attacken anderer Hacker-Gruppen verwendet wurden, die vermutlich auch aus China stammen.

Ein Beispiel hierfur ist der Angriff auf die sudkoreanischen sozialen Netzwerke Cyworld und Nate im Jahr 2011 (http://www.bbc.co.uk/news/technology-14323787) – die Angreifer verwendeten hier einen Trojaner, der mit einem Zertifikat der YNK Japan Inc Gaming Company signiert war.

Digitale Zertifikate desselben Unternehmens wurden erst vor kurzem, im Marz 2013, in Trojanern verwendet, die gegen tibetanische und uigurische Aktivisten eingesetzt wurden (https://www.securelist.com/en/blog/208194165/New_Uyghur_and_Tibetan_Themed_Attacks_Using_PDF_Exploits). Diese Geschichte reicht zuruck bis in das Jahr 2011. Wir mochten unseren Lesern in diesem Zusammenhang Normans Blogpost zu einem ahnlichen Vorfall ans Herz legen: http://blogs.norman.com/2011/security-research/invisible-ynk-a-code-signing-conundrum.Digitale Zertifikate desselben Unternehmens wurden erst vor kurzem, im Marz 2013, in Trojanern verwendet, die gegen tibetanische und uigurische Aktivisten eingesetzt wurden (https://www.securelist.com/en/blog/208194165/New_Uyghur_and_Tibetan_Themed_Attacks_Using_PDF_Exploits). Diese Geschichte reicht zuruck bis in das Jahr 2011. Wir mochten unseren Lesern in diesem Zusammenhang Normans Blogpost zu einem ahnlichen Vorfall ans Herz legen: http://blogs.norman.com/2011/security-research/invisible-ynk-a-code-signing-conundrum.

Zur selben Zeit, im Marz 2013, wurden uigurische Aktivisten von einer anderen Schadsoftware angegriffen, die von einem anderen Entwickler von Online-Games mit dem Namen MGAME Corp signiert war https://www.f-secure.com/weblog/archives/00002524.html.

Wir glauben, dass alle diese gestohlenen Zertifikate aus einer Quelle stammen – und zwar der Winnti-Gruppe. Diese Gruppe pflegt entweder engen Kontakt zu anderen chinesischen Hacker-Gruppen oder verkauft die Zertifikate auf dem Schwarzmarkt in China.

Unten stehend eine Liste der bekannten kompromittierten Unternehmen und der digitalen Zertifikate, die von der Winnti-Gruppe in verschiedenen Kampagnen verwendet wurden:

UnternehmenSerien NummerLand
ESTsoft Corp 30 d3 fe 26 59 1d 8e ac 8c 30 66 7a c4 99 9b d7 Sudkorea
Kog Co., Ltd. 66 e3 f0 b4 45 9f 15 ac 7f 2a 2b 44 99 0d d7 09 Sudkorea
LivePlex Corp 1c aa 0d 0d ad f3 2a 24 04 a7 51 95 ae 47 82 0a Sudkorea/ Philippinen
MGAME Corp 4e eb 08 05 55 f1 ab f7 09 bb a9 ca e3 2f 13 cd Sudkorea
Rosso Index KK 01 00 00 00 00 01 29 7d ba 69 dd Japan
Sesisoft 61 3e 2f a1 4e 32 3c 69 ee 3e 72 0c 27 af e4 ce Sudkorea
Wemade 61 00 39 d6 34 9e e5 31 e4 ca a3 a6 5d 10 0c 7d Japan/Sudkorea/USA
YNK Japan 67 24 34 0d db c7 25 2f 7f b7 14 b8 12 a5 c0 4d Japan
Guangzhou YuanLuo 0b 72 79 06 8b eb 15 ff e8 06 0d 2c 56 15 3c 35 China
Fantasy Technology Corp 75 82 f3 34 85 aa 26 4d e0 3b 2b df 74 e0 bf 32 China
Neowiz 5c 2f 97 a3 1a bc 32 b0 8c ac 01 00 59 8f 32 f6 Sudkorea



Opfer der Attacken

Man konnte den Eindruck bekommen, dass die potenziellen Opfer zielgerichteter Attacken – oder auch APT (Advanced persistent threat, hochentwickelte, andauernde Bedrohung) – nach wie vor Regierungsorganisationen, Ministerien, Militar, Rustungsunternehmen, Kraftwerke, chemische Betriebe, politische Organisationen, kritische Infrastrukturen oder dergleichen sind. In diesem Kontext scheint es unwirklich, dass kommerzielle Betriebe dem gleichen Risiko eines zielgerichteten Angriffs ausgesetzt sind, es sei denn es handelt sich um ein Unternehmen der Gro?enordnung von Google oder Adobe. Das hangt damit zusammen, dass im Wesentlichen Informationen uber solche Angriffe an die Offentlichkeit gelangen, die gegen Organisationen auf Staatsebene gerichtet sind. Doch in Wirklichkeit ist jede beliebige Firma einer Bedrohung durch APT ausgesetzt, wenn sie uber Daten verfugt, die effektiv zu Geld gemacht werden konnen. Hier haben wir es mit einem solchen Fall zu tun: Einer APT waren nicht Organisationen aus den Bereichen Regierung, Politik, Rustung oder Industrie ausgesetzt, sondern Computerspielefirmen,

Alle Opfer der Winnti-Gruppe zu benennen ist schwierig. Doch aus den Daten, uber die wir verfugen, lasst sich schlie?en, dass die Rechner von mindestens 35 Unternehmen infiziert sind oder irgendwann einmal von dieser Cyberverbrecher-Gruppe infiziert wurden. Diese Daten erhielten wir aus den Hinweisen innerhalb des Schadprogramms, aus den Domain-Namen der Steuerungszentren, von den Unternehmen, von denen die Zertifikate zum Signieren der Schadprogramme gestohlen wurden und uber Mitteilungen aus verschiedenen Landern, die uber die Entdeckung von Schadprogrammen der Winnti-Gruppe berichteten.

Lander, in denen sich die betroffenen Unternehmen befinden:

Asien Europa Lateinamerika Nordamerika
Vietnam Wei?russland Brasilien USA
Indien Deutschland Peru
Indonesien Russland
China
Taiwan
Thailand
Philippinen
Sudkorea
Japan


Diese Daten zeigen, dass die Winnti-Gruppe Spieleentwickler in unterschiedlichen Regionen der Welt angreift und dabei einen ausgepragten Hang nach Ostasien erkennen lasst.


Lander, in denen Spieleentwickler von Winnti angegriffen wurden

Diese geografische Verteilung ist durchaus erklarbar. Unternehmen aus dem Bereich Computerspiele (Herausgeber und Entwickler) sind meist internationale Firmen, die weltweit Niederlassungen und Vertretungen besitzen. Zudem ist in dieser Branche eine Zusammenarbeit zwischen Firmen aus unterschiedlichen Landern durchaus ublich. Die Entwickler eines Spiels konnen in einem Land arbeiten, wahrend die Herausgeber in einem ganz anderen sitzen. Wenn ein Spiel, das in einer Region erscheint, auf den Markt anderer Regionen gebracht wird, ubersetzen es die anderen Herausgeber. Im Rahmen dieser Zusammenarbeit gestatten sich die Partnerunternehmen haufig gegenseitig Zugriff auf ihre Netzressourcen, um mit dem Spiel zusammenhangende Daten austauschen zu konnen, zum Beispiel Clients, Game-Ressourcen, Programme zum Zusammenfuhren der Ressourcen und so weiter. Verwendet eine dieser Firmen infizierte Rechner, konnen die Cyberkriminellen uber diesen Zugang die Computer eines anderen Unternehmens infizieren.

Kommerzielles Interesse

Wie bereits oben erwahnt kann jedes beliebige kommerzielle Unternehmen zur Zielscheibe von APT werden, wenn Cyberkriminelle eine Moglichkeit entdecken, durch die Attacke Gewinn zu machen.

Auf welche Art und Weise bereichern sich Online-Kriminelle, die Unternehmen aus der Computerspiele-Branche angreifen?

Auf Basis der uns zur Verfugung stehenden Daten unterscheiden wir drei grundlegende Schemata, nach denen die Winnti-Kampagnen in bare Munze umgewandelt werden.

  1. Anhaufung von Spiel-Wahrung („Gold“) in Online-Games und Uberfuhrung der virtuellen Mittel in reales Geld.
  2. Diebstahl des Server-Quellcodes von Online-Spielen, um darin nach Sicherheitslucken fur das Spiel zu suchen – weiter siehe Punkt 1.
  3. Diebstahl des Server-Quellcodes beliebter Online-Spiele zur anschlie?enden Bereitstellung von Piratenservern.

Ein Beispiel: Im Rahmen unserer Untersuchungen zu infizierten Computern eines Spieleentwicklers stellte sich heraus, dass der Schadling fur einen konkreten Dienst entwickelt worden war, der auf dem Server dieses Unternehmens lauft. Das Schadprogramm suchte auf dem Server einen bestimmten laufenden Prozess, manipulierte dessen Code und suchte dort zwei bestimmte Orte, um dort schadliche Funktionsaufrufe  zu verstecken. Mit diesen Funktionen anderte das Schadprogramm die Daten des Prozesses, die an diesen zwei Orten verarbeitet wurden, und gab dann die Kontrolle wieder an den Originalcode ab. Auf diese Weise beeinflussten die Cyberkriminellen den Serverprozess, indem sie den normalen Verlauf seiner Ausfuhrung veranderten. Leider konnte uns das Unternehmen keine Angaben zu der Zielanwendung machen und wir konnen daher keine konkrete Aussage daruber treffen, wie sich die Einmischung des Schadlings auf den Verlauf des Spiels ausgewirkt hat. Das betroffene Unternehmen teilte uns mit, dass das Ziel der Verbrecher in der unrechtma?igen Aneignung von Spiel-Gold bestand.

Die Einmischung der Online-Gangster wirkt sich selbstverstandlich negativ auf das Spiel selbst aus, da das Gleichgewicht zugunsten der „Cheater“ gestort wird. Allerdings ist es keineswegs so, dass die durch die Winnti-Gruppe herbeigefuhrten Anderungen im Spiel jedem auffallen wurden. Denn eine intelligente Balance ist das wichtigste Merkmal von Online-Spielen! Die Anwender konnten einfach aufhoren zu spielen, wenn sie das Gefuhl hatten, dass andere im Spiel scheinbar grundlos viel erfolgreicher sind als sie selbst, oder wenn das Spiel aufgrund des Auftauchens einiger, von den Entwicklern nicht vorgesehener Ressourcen oder Artefakte an Spannung verliert. Schlie?lich haben die Angreifer ein enormes Interesse daran, dass das Spiel nicht an Beliebtheit verliert, andernfalls konnten sie die Fruchte ihrer Arbeit nicht effektiv ernten, sprich sie konnten die infizierten Computer der Entwicklerfirma nicht effizient in klingende Munze umwandeln.

Die Mitglieder der Winnti-Gruppe sind geduldig und vorsichtig. Die Cyberkriminellen wirken jahrelang auf den Verlauf der Spiele von betroffenen Unternehmen ein, stahlen Geld, tun dies aber auf eine Art und Weise, die keine Aufmerksamkeit erregt.

Ursprung der Attacken

Wer verbirgt sich hinter der Winnti- Gruppe? Im Zuge der Analyse der schadlichen Dateien kamen einige Details ans Licht, die Hinweise auf die Quelle der Attacken geben konnten.

In einer bestimmten Phase der Ermittlungen versuchten wir herauszufinden, was genau die Cyberkriminellen auf einem infizierten Rechner tun. Sie luden dort in das Verzeichnis Config.Msi unter anderem das Hilfsprogramm ff._exe, das auf der Festplatte nach folgenden Dokumenten-Typen sucht: Adobe, HTML, Microsoft Excel, Microsoft PowerPoint, Microsoft Word und Textdateien (.txt).

Im Programm ff._exe_ wurden Debugging-Zeilen entdeckt, die auf die nationale Zugehorigkeit der Cyberkriminellen hinweisen. Sie sprangen nicht auf den ersten Blick ins Auge, da sie im Editor folgenderma?en aussahen:

Doch bei einer weiterfuhrenden Analyse zeigte sich, dass es sich hierbei um einen Text im chinesischen Zeichensatz GBK handelt. In chinesischer Sprache sehen diese Zeilen folgenderma?en aus:

In einer automatischen Ubersetzung liest sich der Text so:

Nicht den Typ des Dateisystems
Offnen Sie die Lautstarke nicht
Konnte das Dateisystem zu erhalten
Konnte Volume lesen
Volumes nicht offnen oder offnen, ist fehlgeschlagen
Navigieren Sie zu dem Root-Verzeichnis des Fehlers
Fehlerspeicher Lesezeiger
Der Speicher ist zu klein
Die Datei existiert nicht
Konnte die Datei MFT-Index Branchentreff
Zugriff auf File-Daten nicht
Volumen und Open Bande sind nicht das Gleiche
Das gleiche Volumen und offenes Volumen

Zudem verwendeten die Cyberkriminellen das Programm AheadLib, um die schadlichen Bibliotheken zu erstellen (genaueres dazu im zweiten Teil des Artikels). Dabei handelt es sich um ein Programm mit einer Benutzeroberflache in chinesischer Sprache.

In einer der vom Schadprogramm verwendeten Komponenten, dem Plug-in CmdPlus.dll, wurde ebenfalls chinesischer Text gefunden:


Ubersetzung:: Prozess wurde beendet!!

Alles weist also darauf hin, dass die Angreifer des Chinesischen zumindest machtig sind. Es gibt allerdings weitere Hinweise:  Aufgrund der nicht ausreichend sicheren Umsetzung des Plug-ins zur Dateiubermittlung wird mit dem Download auf ein infiziertes System auch ein Befehl ubermittelt, der auf den lokalen Pfad der Angreifer verweist (woher die Datei stammt oder wo sie gespeichert wird). Wahrend wir das Verhalten der Cyberkriminellen auf einem infizierten Rechner beobachteten, kopierten sie von dem infizierten System ein gefundenes Zertifikat, und im Netz-Traffic erschien ein lokaler Pfad, der uns anzeigte, wo die Datei auf dem Computer der Ubeltater gespeichert ist:

Wie sich herausstellte, sind die Schriftzeichen koreanisch und bedeuten „Desktop“. Das hei?t, die Angreifer arbeiteten mit einer koreanischen Windows-Version. Das wiederum gibt Anlass zu der Vermutung, dass hinter den Attacken nicht ausschlie?lich chinesisch-sprachige Cyberkriminelle stecken.

Fazit

Unsere Ermittlungen deckten eine langfristig orientierte, gro? angelegte Cyberspionage-Kampagne einer kriminellen Gruppe chinesischen Ursprungs auf. Diese Angriffe sind nicht neu, viele andere Sicherheitsermittler haben Details uber verschiedene cyberkriminelle Gruppen aus China veroffentlicht. Allerdings weist diese Hacker-Gruppe markante Merkmale auf, durch die sie sich von anderen abhebt:

  • Massiver Missbrauch von digitalen Signaturen; die Angreifer verwendeten digitale Signaturen eines Opfer-Unternehmens, um andere Unternehmen anzugreifen und weitere digitale Zertifikate zu stehlen;
  • Einsatz eines signierten 64-Bit-Rootkits auf Kernelebene;
  • Missbrauch einer gro?en Vielzahl von offentlichen Internet-Ressourcen zur Speicherung von Kontrollbefehlen fur die Malware in verschlusselter Form;
  • Teilen/Verkauf von gestohlenen Zertifikaten mit/an andere Gruppen, die andere Ziele hatten (Attacken auf uigurische und tibetanische Aktivisten);
  • Diebstahl von Quellcodes und anderem intellektuellen Eigentum von Software-Entwicklern aus der Branche Online-Spiele.

Das Schadprogramm, das wir auf den Namen “Winnti” getauft haben, hat sich seit dem Moment seines ersten Auftretens deutlich weiterentwickelt, doch wir klassifizieren alle seine Varianten nach seinen zwei Hauptgenerationen: 1.x und 2.x

In Form eines eigenstandigen Artikels veroffentlichen wir die technische Beschreibung der ersten Generation von Winnti.

Die zweite Generation (2.x) wurde in einer der Attacken verwendet, die wir in ihrem aktiven Stadium untersucht haben. Wir konnten die Ubermittlung von Daten an den Server der Cyberkriminellen verhindern und die infizierten Systeme im lokalen Netz des Unternehmens isolieren. Dieser Vorfall und die Ergebnisse unserer Ermittlungen werden im vollstandigen Bericht uber die Gruppe Winnti beschrieben (PDF).

Uberdies deckten wir auf, dass die Gruppe Winnti einen popularen Backdoor verwendet, der unter der Bezeichnung PlugX bekannt und ebenfalls chinesischer Herkunft ist. Allerdings wurde dieser Backdoor fruher praktisch ausschlie?lich bei Angriffen auf tibetanische Aktivisten registriert.

Quelle:
Kaspersky Lab
Weiterführende Links
Weblog
Die Darkhotel-APT
Rundum-Erneuerung der NetTraveler APT zum 10-jährigen Jubiläum
Die Careto-/Mask-APT-Attacke: Frequently Asked Questions
Zerstörerische Malware – fünf Wiper-Schädlinge im Fokus
Der Run auf CVE-2013-3906 – heiße Ware
Artikel
Kaspersky Security Bulletin 2013/2014 –Bedrohungen für Unternehmen
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen