China-Hacker kapern einen ganzen Provider, um Malware zu verbreiten

Chinesische Hackergruppen schrecken jetzt auch nicht mehr davor zurück, die Systeme von Providern zu übernehmen, um ihre Spionage-Malware möglichst effektiv zu verbreiten. Mit einem Man-in-the-Middle-Angriff wurden so gefälschte Software-Updates verteilt.

Täter schon lange bekannt

Die Angreifer sollen zu der bereits länger aktiven Gruppe StormBamboo gehören, die in der Security-Szene auch unter Namen wie Evasive Panda, Daggerfly und StormCloud bekannt ist. Das geht aus einem am Freitag vom Sicherheits-Unternehmen Volexity veröffentlichten Bericht über die jüngsten Spionage-Aktivitäten hervor.

Demnach hat die Gruppe einen nicht namentlich benannten Internet-Provider kompromittiert. Wenn die Rechner dessen Kunden nun nach bestimmten Software-Updates suchten, wurden sie von manipulierten DNS-Datenbanken auf Server umgeleitet, die unter der Kontrolle der Angreifer standen. Von diesen wurden dann wiederum gefälschte Updates zurückgeliefert, in denen Malware versteckt war.


StormBamboo setzte für den Angriff auf Anwendungen, bei denen der Bezug von Updates nicht ausreichend gegen solche Attacken abgesichert ist - die also beispielsweise keinen Hash-Abgleich durchführen oder Signaturen prüfen, um die Authentizität der heruntergeladenen Software zu prüfen.

5KPlayer betroffen

So nutzten die Angreifer etwa Anfragen der Wiedergabe-Software 5KPlayer. Dieser lädt unter anderem Komponenten der youtube-dl-Bibliothek aus externen Quellen, um mit verschiedenen Medienformaten umgehen zu können. StormBamboo nutzte das, um ein Backdoor-Installationsprogramm auf die Rechner der User zu bringen.

Betroffen war allerdings keineswegs nur der 5KPlayer. "Volexity beobachtete, dass StormBamboo mehrere Softwareanbieter ins Visier nahm, die unsichere Update-Workflows verwenden", erklärten die Sicherheitsforscher. Sie konnten gemeinsam mit den Mitarbeitern des betroffenen Providers dafür sorgen, dass die Attacken abgestellt wurden.


Siehe auch: