Backdoor in Server-Management-Software

Kaspersky Lab hat in einer Software zum Management von Servern, das weltweit bei Hunderten von Großunternehmen im Einsatz sei, ein Backdoor-Programm entdeckt. Würde dieses aktiviert, könnten Angreifer damit weitere schädliche Module herunterladen oder Daten stehlen.

Das Global Research and Analysis Team (GReAT) von Kaspersky Lab [1] wurde im Juli 2017 von einem seiner Partner, einer Finanzinstitution, kontaktiert, weil deren Sicherheitsexperten über verdächtige DNS-Anfragen in einem System zur Bearbeitung von Finanztransaktionen besorgt waren. Die weitere Untersuchung identifizierte die Server-Management-Software eines seriösen Herstellers als Quelle dieser Anfragen.



Das Produkt von NetSarang sei weltweit bei Hunderten von Kunden aus den Branchen Finanzdienstleistung, Bildung und Erziehung, Telekommunikation, Produktion und Transport im Einsatz. Besonders besorgniserregend war allerdings die Tatsache, dass der Hersteller die DNS-Anfragen in seiner Software nicht beabsichtigt hatte.



Tatsächlich konnten die Experten von Kaspersky Lab im Verlauf der Untersuchung als Ursache der Anfragen die Aktivitäten eines schädlichen Moduls ausmachen, das in der aktuellen Version der legitimen Software versteckt war. Nach erfolgreicher Installation hätte es je einmal innerhalb von acht Stunden DNS-Anfragen an bestimmte Domains – seine Command-and-Control (C&C)-Server – gesendet und dabei grundlegende Informationen über das infizierte System wie die Namen von User, Domain und Host weitergegeben.



Bei für Angreifer interessanten Systemen hätte der Command Server antworten und eine vollwertige Backdoor-Plattform aktivieren können, welche sich heimlich im angegriffenen Rechner festgesetzt hätte. Das Backdoor wiederum hätte auf Befehl der Angreifer dort weiteren schädlichen Code downloaden und ausführen können.



Nach ihrer Entdeckung informierten die Experten von Kaspersky Lab den Hersteller NetSarang. Das Unternehmen veröffentlichte daraufhin eine aktualisierte, Schadcode-freie Version der Software. Die Untersuchung von Kaspersky Lab ergab dabei, dass das schädliche Modul bislang in Hongkong aktiviert wurde, es jedoch noch auf zahlreichen weiteren Systemen in aller Welt schlummern könnte, besonders wenn dort nicht bereits die aktualisierte Version der betroffenen Software installiert wurde.



Bei der Analyse der Tools, Techniken und Arbeitsweise der Angreifer haben die Cybersicherheitsexperten gewisse Ähnlichkeiten zu den PlugX-Malware-Varianten der bekannten, chinesischsprachigen Cyberspionage-Gruppe Winnti APT entdeckt. Die Indizien sind jedoch zu schwach, um einen eindeutigen Bezug zu dieser Gruppe herzustellen.