Zu Hauptinhalt springen

Aktuelles


Cyberspionage durch die Schadsoftware GOLDENSPY möglich

11. September 2020 | von Elena Maria Kellinghaus

Das Bundesamt für Verfassungsschutz (BfV) und das Bundeskriminalamt (BKA) gaben gemeinsam eine Warnmeldung heraus, um vorrangig deutsche Unternehmen mit Sitz in China zu sensibilisieren. Es liegen Erkenntnisse vor, dass deutsche Firmen mit wirtschaftlichen Kontakten zu China mithilfe der Schadsoftware GOLDENSPY ausgespäht werden.

Dem Rechenzentrum sowie der EDV-Verwaltung ist der Gebrauch einer verwendeten Steuersoftware an der UR nicht bekannt. Nichtsdestotrotz können sie die Verwendung am Campus nicht ausschließen. Daher ist das wissenschaftliche Personal dazu aufgefordert, zu prüfen, ob durch Projekte eine Kooperation mit China besteht und ob in ihrem Bereich oder bei Kooperationspartnern eine Steuersoftware installiert werden musste. Dies würde eine erhebliche Sicherheitslücke verursachen, die dazu führen kann, dass sensible Forschungsdaten an nicht autorisierte Dritte gelangen. Schützen Sie Ihre Forschungsdaten!

Zum eigentlichen Sachverhalt

Verschiedene IT-Security Dienstleister sowie das FBI berichten über folgende Beobachtungen im Bereich der Wirtschaftsspionage: Alle ausländischen Firmen, die in China aktiv sind, sind dazu verpflichtet eine Steuersoftware zu installieren, sodass automatisiert und softwaregestützt Steuerabgaben an das zuständige Finanzamt verrichtet werden können. Hierbei handelt es sich um eine legitime chinesische Steuersoftware mit dem Namen INTELLIGENT TAX (oder auch GOLDENTAX genannt). Durch die Installation dieser Softwaretools wird jedoch auch eine Spionagesoftware namens GOLDENSPY nachgeladen, die es Dritten ermöglicht, auf die Netzwerke der betroffenen Unternehmen zu zugreifen.

Funktionsweise der Schadsoftware

Laut der Erkenntnisse von IT-Security Dienstleistern wird nach Installation der legitimen Steuersoftware eine zusätzliche Datei plugins.exe ausgeführt und daraufhin automatisiert und ohne Nachricht an den Endnutzer nach ungefähr zwei Stunden die GOLDENSPY-Software im betroffenen System nachgeladen und installiert. Infolgedessen erhalten nicht autorisierte Dritte vollständige Zugriffsmöglichkeiten inklusive der Administratorenrechte. Durch die Implementierung von GOLDENSPY wird eine weitere Datei mit der Bezeichnung svminstaller.exe heruntergeladen, die zwei identische .exe-Dateien mit der Bezeichnung svm.exe und svmm.exe in das Opfersystem installiert. Beides sind zwei identische Versionen von GOLDENSPY, welche von der Domain ningzhidata[.]com übertragen werden. Beide Dateien weisen folgende Backdoor-Fähigkeiten auf

  • Beide Dateien werden als Autostart Services installiert, die sich gegenseitig neu starten. Sollte eine der beiden Dateien gelöscht werden, wird sie von der anderen Version wieder nachgeladen und ausgeführt.
  • Durch die Deinstallation von INTELLIGENT TAX-Software wird GOLDENSPY nicht deinstalliert und von ihrem System entfernt.
  • GOLDENSPY wird erst nach ungefähr zwei Stunden nach Abschluss der Installation der Steuersoftware heruntergeladen und installiert, ohne Mitteilung auf dem System des Opfers.
  • Nach Ausführung nimmt GOLDENSPY Kontakt mit einem Server auf, der nicht zur offiziellen Steuersoftware gehört.
  • Nach den ersten Versuchen, den C2-Server zu kontaktieren, werden die Beacon-Zeiten nach dem Zufallsprinzip gesetzt, was eine Identifikation als typische Beaconing-Malware erschwert.

Hilfe für betroffene Systeme

Nach Bekanntwerden der Angriffe durch GOLDENSPY wurde ein Tool an betroffene Unternehmen ausgeliefert, wodurch GOLDENSPY mittels der Datei AWX.exe vollständig vom betroffenen System entfernt wird. Zu den Funktionsweisen gehören u. a. das Löschen von Registry-Einträgen sowie LogFiles. Nach erfolgreicher Bereinigung entfernt sich das Tool ebenfalls vollständig vom Opfersystem.

Es musste eine weiterentwickelte Version (BWXT.exe) in Umlauf gebracht werden, weil mehrere IT-Sicherheitslösungen die AWX.exe als maliziös erkennen. Die bereits beschriebene Funktionsweise wurde bei BWXT.exe beibehalten.

Handlungsempfehlung für UR-Mitglieder

Bei Hinweisen auf eine derartige Infektion bzw. verdächtiges Systemverhalten sollten Sie dies der IT-Sicherheitsbeauftragten melden, um das Ausmaß einer etwaigen Kompromittierung zu prüfen, einzudämmen und effektiv begegnen zu können. Unter folgenden Kontaktdaten steht Ihnen die IT-Sicherheitsbeauftragte gerne zur Verfügung:

Elena Maria Kellinghaus

Universität Regensburg

Raum RZ 1.09

Universitätsstraße 31

93053 Regensburg

Telefon 0941 943-4889

Fax 0941 943-4857

E-Mail elena.kellinghaus@rz.uni-regensburg.de


Quellen:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-golden-tax-department-and-the-emergence-of-goldenspy-malware/

https://www.ic3.gov/media/news/2020/200728.pdf

https://www.heise.de/news/IT-Sicherheit-FBI-warnt-vor-Hintertuer-in-chinesischer-Steuersoftware-4852491.html

https://www.verfassungsschutz.de/de/aktuelles/sicherheitshinweise/sicherheitshinweis-2020-08-21-moegliche-cyberspionage-mittels-der-schadsoftware-goldenspy

  1. Universität

Informationssicherheit

IT-Sicherheit

Datenschutz