Warnung vor Malware-Attacken auf deutsche Unternehmen

Gefahrenwarnung

In den vergangenen Tagen verdichteten sich die Informationen, dass vermehrt Malware-Attacken auf deutsche Unternehmen zu verzeichnen sind. Weiterhin entdeckte ein Forschungsteam des Herstellers für Sicherheitssoftware Kaspersky ein gefährliches Bootkit. Diese neuartige Schadsoftware wirft noch Fragen auf. Wir bringen auf den Punkt, worum es sich handelt, wer gefährdet ist und wie Sie sich schützen können.

Deutsche Unternehmen vermehrt mit Malware „Hyberbro“ attackiert

In seinem Cyberbrief 01/22 warnt das Bundesamt für Verfassungsschutz vor einer anhaltenden Spionagekampagne durch die Gruppe APT 27. Hinter diesem Kürzel verbirgt sich nach Überzeugung des Verfassungsschutzes eine chinesische Gruppe krimineller Hacker, die ebenfalls unter dem Namen »Emissary Panda« bekannt ist und bereits in der Vergangenheit für Cyberangriffe auf westliche Regierungsstellen verantwortlich gemacht wurde.

Laut Verfassungsschutz verwenden die Angreifer einen Remote Access Trojan (RAT)  namens “Hyberbro“. Ein RAT ist ein Malware-Programm, das eine Hintertür für administrative Kontrolle auf dem Zielsystem eröffnet. RATs werden üblicherweise im Hintergrund durch ein Programm heruntergeladen, das durch den User aufgerufen wurde. Im aktuellen Fall wird vermutet, dass die Schadsoftware über die Ausnutzung von Sicherheitslücken im Passwortmanagement-Programm AdSelfService Plus1 des indischen Software-Herstellers Zoho auf unzähligen Rechnern installiert wurde. Auch die bereits im März bekannt gewordene Schwachstelle in Microsoft Exchange gilt als Einstiegstor für „Hyberbro“, da viele Unternehmen die Lücke noch immer nicht geschlossen haben.

Bei dieser Art von Cyberangriffen stehen vor allem der Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum im Vordergrund. Der Verfassungsschutz schließt jedoch nicht aus, dass die Angreifer über diesen Weg ebenfalls in die Netzwerke von Kundinnen und Kunden sowie von Dienstleistern eindringen könnten und entsprechend mehrere Unternehmen auf einmal infiltrieren.

Für Expertinnen und Experten: Mögliche Indikatoren für eine Infektion

Der Cyberbrief 01/22 enthält ebenfalls Hinweise zur Erkennung einer Infektion mit „Hyberbro“. Unter den Indizien, die auf eine Kompromittierung eines Systems hinweisen (Indicators of Compromise, IOC) sind drei IP-Adressen gelistet, zu denen das RAT Kontakt sucht:

Weiterhin können auch bestimmte Dateien, Pfade oder Prozesse auf einen Befall hinweisen. Alle Details finden Sie im Cyberbrief 01/22 des Bundesamtes für Verfassungsschutz.

Was Sie tun können

Wir raten Admins und IT-Verantwortlichen:

  • Installieren Sie alle Sicherheitsupdates zum Schließen von Schwachstellen in Microsoft Exchange und AdSelfService Plus1.
  • Überprüfen Sie die eigenen Systeme auf Indizien aus der Auflistung des Bundesamts für Verfassungsschutz.
  • Isolieren Sie die befallenen Systeme gegebenenfalls und bereinigen Sie sie oder wenden Sie sich an Ihren IT-Dienstleister.
  • Installieren Sie ein Intrusion Detection System (IDS) in Ihrem firmeninternen Netzwerk.  Dieses Angriffserkennungssystem ist eine Ergänzung zur vorhandenen Firewall und erhöht so die Sicherheit von Netzwerken und Computersystemen. Der Anbieter Ihrer Netzwerk-Firewall hilft Ihnen hier weiter.

Sicherheitsprofis identifizieren neues Bootkit „MoonBounce“

Weiterhin haben Sicherheitsforscher von Kaspersky auf dem Rechner eines Kunden ein neuartiges, gefährliches Bootkit namens „MoonBounce“ gefunden. Bei einem Bootkit handelt es sich um ein Schadprogramm, das sich in die Hauptplatine einnistet und sich über das Unified Extensible Firmware Interface (UEFI) verbreitet. Das UEFI dient als Schnittstelle und enthält Informationen, die auf dem Rechner zum Laden des Betriebssystems verwendet werden. Das bedeutet, dass darin enthaltener schädlicher Code ausgeführt wird, noch bevor das Betriebssystem hochfährt.

So gelingt es MoonBounce, die meisten Sicherheitsmechanismen zu umgehen und unentdeckt Betriebssystemstarts zu kontrollieren sowie den Systemcode und die Treiber zu verändern, bevor Virenschutz- und andere Sicherheitskomponenten geladen werden.

Kommt es zur Infektion eines Rechners, muss entweder der SPI-Fehlerspeicher neu bespielt oder das komplette Motherboard ausgetauscht werden.

Wie es zu der Infizierung des Geräts mit „MoonBounce“ kam, ist momentan unklar. Es wird jedoch vermutet dass dies aus der Ferne erfolgte. Da die Entwicklung eines Bootkits wie MoonBounce eine ziemlich komplexe Angelegenheit ist, für die herkömmlichen Cyberkriminelle kaum Ressourcen zur Verfügung stehen, wird vermutet, dass die Ziele vor allem wirtschaftlicher und staatlicher Ebene liegen. Aufgrund der Charakteristik der Malware haben die Kaspersky Expertinnen und Experten im Rahmen von „MoonBounce“ ein Team im Verdacht, das als ATP41 bezeichnet wird und vermutlich aus China stammt.

Was Sie tun können

  • Aktivieren Sie standardmäßig Secure Boot: Das Programm verhindert, dass Viren, Würmer oder Rootkits den PC manipulieren und Schaden anrichten. Wird eine Manipulation erkannt, startet der PC einfach nicht. Manipulationen von Anwendern werden ebenfalls erschwert.
  • Aktualisieren Sie die Firmware regelmäßig.