Das Cybersecurity-Unternehmen Volexity hat in der vergangenen Woche einen Bericht über Online -Spionageaktivitäten vorgelegt und weist darin auf einen kuriosen Fall hin. Demnach haben chinesische Hacker einen Provider kompromittiert, um Spionage-Malware zu verbreiten.

Hackergruppen aus China sind generell nicht zurückhaltend, wenn es um das Erreichen der gesetzten Ziele geht, doch dieses Vorgehen ist bisher einzigartig. Im Bericht steht: „Volexity beobachtete, dass StormBamboo mehrere Softwareanbieter ins Visier nahm, die unsichere Update-Workflows verwenden“.

Provider gehackt: StormBamboo identifiziert

Die Sicherheitsforscher schreiben die Übernahme des (nicht näher benannten) Providers der chinesischen Hackergruppe StormBamboo zu, die in der Szene auch unter den Namen Evasive Panda, Daggerfly und StormCloud bekannt ist. Die DNS Angriffsmetode der Hackergruppe ist als „Sitting Duck“ bekannt

StormBamboo setzte für den Angriff auf Anwendungen, bei denen der Bezug von Updates nicht ausreichend gegen solche Attacken abgesichert ist – die also beispielsweise keinen Hash-Abgleich durchführen oder Signaturen prüfen, um die Authentizität der heruntergeladenen Software zu prüfen. Zu der kompromittierten Software gehörte u.a. der Wiedergabe-Software 5KPlayer. Mittels dieser Anwendung schleusten die Hacker ein Backdoor-Installationsprogramm auf die Rechner der Opfer.

Nachdem Volexity den Angriff nachvollzogen hatte, wurden die Attacken gemeinsam mit den IT-Mitarbeitern des kompromittierten Providers gestoppt.