Du musst Regestriert sein, um das angehängte Bild zusehen.
Chinesische Hackergruppen haben einen neuen gefährlichen Weg gefunden, ihre Spionage-Malware zu verbreiten, indem sie die Systeme von Internetprovidern übernehmen.
Durch einen Man-in-the-Middle-Angriff wurden gefälschte Software-Updates an ahnungslose Nutzer verteilt.
Identität der Täter bekannt
Die Angreifer gehören offenbar zur Gruppe StormBamboo, die auch unter den Namen Evasive Panda, Daggerfly und StormCloud bekannt ist.Laut einem aktuellen Bericht des Sicherheitsunternehmens Volexity sind die Aktivitäten dieser Hackergruppe gut dokumentiert und wurden am Freitag veröffentlicht.
Berichten zufolge gelang es der Gruppe, die Kontrolle über einen nicht genannten Internetprovider zu erlangen.
Wenn die Kunden dieses Providers nach bestimmten Software-Updates suchten, wurden sie auf Server umgeleitet, die von den Angreifern kontrolliert wurden.
Diese Server lieferten gefälschte Updates mit eingebetteter Malware aus.
StormBamboo griff dabei Anwendungen an, die keine ausreichenden Sicherheitsmechanismen für den Update-Prozess besaßen, wie beispielsweise fehlende Hash-Überprüfungen oder Signaturen zur Authentifizierung der Software.
5KPlayer als Ziel
Insbesondere die Wiedergabe-Software 5KPlayer wurde von den Angreifern ins Visier genommen.Diese Software lädt Komponenten der youtube-dl-Bibliothek aus externen Quellen herunter, um verschiedene Medienformate zu unterstützen.
StormBamboo nutzte dies, um Backdoor-Installationsprogramme auf den Rechnern der Nutzer zu platzieren.
Neben dem 5KPlayer waren auch andere Softwareanbieter betroffen, die unsichere Update-Workflows verwenden.
Die Sicherheitsforscher von Volexity konnten gemeinsam mit den Mitarbeitern des betroffenen Providers die Attacken stoppen und die Sicherheit wiederherstellen.
