Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) sowie dem Bundeskriminalamt (BKA) liegen Erkenntnisse vor, dass deutsche Unternehmen mit Sitz in China möglicherweise mittels der Schadsoftware GOLDENSPY ausgespäht werden. Ziel dieser gemeinsamen Warnmeldung ist es, deutsche Wirtschaftsunternehmen zu sensibilisieren und mit den notwendigen technischen Informationen zu versehen, um eine mögliche Infektion detektieren zu können.
Ausländische Unternehmen, die in China aktiv sind, sind verpflichtet eine Steuersoftware3 zu installieren, um automatisiert und softwaregestützt Steuerabgaben an das zuständige Finanzamt abzuführen sowie Finanztransaktionen abzuwickeln.4 Dabei soll es sich um die legitime chinesische Steuersoftware INTELLIGENT TAX (auch GOLDENTAX genannt) handeln. Durch die Installation dieser legitimen Software soll jedoch eine Spionagesoftware mit dem Namen GOLDENSPY nachgeladen werden, durch die Dritte Zugriff auf die Netzwerke der betroffenen Unternehmen erlangen.
Durch BfV und BKA wurden die bekannten technischen Parameter zusammengetragen und um eigene Erkenntnisse ergänzt. Diese werden mit dieser Warnmeldung zum Schutz deutscher Wirtschaftsunternehmen zur Verfügung gestellt.
Mutmaßliche Funktionsweisen der Schadsoftware
Gemäß den Erkenntnissen von IT-Dienstleistern kann nach Ausführung der legitimen Steuersoftware die zusätzliche Datei plugins.exe ausgeführt und dadurch automatisiert und ohne Mitteilung an den Nutzer nach ca. zwei Stunden die GOLDENSPY-Software im betroffenen System nachgeladen und installiert werden. Dadurch könnten Dritte vollumfängliche Zugriffsmöglichkeiten inklusive Administratorenrechte erhalten. Durch die Installation von GOLDENSPY wird eine weitere Datei mit der Bezeichnung svminstaller.exe nachgeladen, die zwei identische .exe-Dateien mit der Bezeichnung svm.exe und svmm.exe im Opfersystem installiert (dabei handelt es sich um zwei identische Versionen von GOLDENSPY), welche von der Domain ningzhidata[.]com übertragen werden. Die beiden Dateien weisen die folgenden Backdoor-Fähigkeiten auf:
- Beide Dateien werden als Autostart Services installiert, die sich - sollte einer der beiden Services beendet werden - gegenseitig neu starten. Wird eine der beiden Dateien gelöscht, wird eine neue Version nachgeladen und ausgeführt, was die Entfernung der Malware von einem infizierten System aufgrund der zusätzlichen Nutzung von Administratorenrechten erschwert.
- Durch die Deinstallationsfunktion der INTELLIGENT TAX-Software wird GOLDENSPY nicht deinstalliert.
- GOLDENSPY wird erst ca. zwei Stunden nach Abschluss der Installation der Steuersoftware heruntergeladen und installiert, ohne Benachrichtigung auf dem System des Opfers. Nach Ausführung nimmt die Software Kontakt mit einem Server auf, der nicht zur offiziellen Steuersoftware gehört.
- Nach den ersten Versuchen, den C2-Server zu kontaktieren, werden die Beacon-Zeiten nach dem Zufallsprinzip gesetzt, was eine Identifikation als typische Beaconing-Malware erschwert.
Uninstall GOLDENSPY
Bereits kurz nach Bekanntwerden der Vorfälle und der Schadsoftware GOLDENSPY wurde ein weiteres Tool an betroffene Unternehmen ausgeliefert, wodurch GOLDENSPY mittels der Datei AWX.exe vollständig vom Opfersystem entfernt wird. Zu den Funktionsweisen gehören u. a. das Löschen von Registry-Einträgen sowie LogFiles. Nach erfolgreicher Bereinigung entfernt sich das Tool ebenfalls selbstständig vom betroffenen System. Da bereits mehrere IT-Sicherheitslösungen die AWX.exe als maliziös erkennen, wurde hier eine weiterentwickelte Version (BWXT.exe) in Umlauf gebracht. Die bereits beschriebenen Funktionsweisen wurden beibehalten.
Handlungsempfehlung
Grundsätzliche Risikoabwägung und Prävention
Zwecks Erreichung eines angemessenen IT-Sicherheitsniveaus wird grundsätzlich eine Orientierung an öffentlich verfügbaren Standards empfohlen, etwa den Richtlinien des BSI-Grundschutzes oder den praxisbewährten CIS Controls des Centers for Internet Security.
Für den Einsatz von Software oder Systemen, welche zur Erfüllung von rechtlichen Vorgaben in anderen Ländern zwingend genutzt werden müssen, wird empfohlen, diese nicht in die Domäne zu integrieren, sondern diese – soweit möglich – von kritischen Unternehmensnetzen getrennt zu betreiben. Auf diesen Systemen sollten nur die für die Erfüllung der rechtlichen Vorgaben benötigten Daten verarbeitet werden. Nicht mehr benötigte Daten sollten regelmäßig von diesen Systemen gelöscht werden. Verwendete Zugangsdaten sollten exklusiv genutzt und nicht an anderer Stelle weiterverwendet werden.
Detektion
Es wird empfohlen, die eigenen Systeme mit den zur Verfügung gestellten IOCs und Detektionssignaturen zu prüfen. Insbesondere sollte in Logdateien und aktiven Netzwerkverbindungen nach Verbindungen zu den im Bereich IOCs genannten externen Systemen gesucht werden. Außerdem sollte in den Windows-Eventlogs nach der Erstellung von Services mit den Namen svm oder svmm gesucht werden. Die beigefügte YARA-Regel kann ebenfalls zur Detektion genutzt werden.
Reaktion
Bei Hinweisen auf eine Infektion bzw. verdächtiges Systemverhalten sollten die erprobten Pläne für Incident Response ausgeführt werden, um das Ausmaß einer etwaigen Kompromittierung zu erfassen, einzudämmen und effektiv begegnen zu können. Systeme, auf denen verdächtige Software installiert war, sollten auch ohne Hinweise auf eine aktive Infektion, unter Berücksichtigung der im Bereich Prävention genannten Empfehlungen, neu aufgesetzt werden.
Technische Indikatoren
Bundesamt für Verfassungsschutz - Cyberabwehr
Tel.: 0221-792-2600 oder
E-Mail: cyberabwehr@bfv.bund.de
Bundeskriminalamt
Tel.: 02225-890 oder
E-Mail: st23@bka.bund.de