Hackerangriffe auf Logistikunternehmen

Unterbrechungen in der globalen Supply Chain können Lieferketten weltweit gefährden. Denn ob digital oder analog: Ausfälle sind für die globale Frachtlogistik besonders heikel. Das hat erst jüngst die Blockade des Suezkanals durch das Containerschiff „Ever Given“ gezeigt.

ESET Forscher haben nun eine bisher unbekannte Backdoor entdeckt, die bei einem Angriff auf ein Frachtlogistikunternehmen in Südafrika verwendet wurde. Hinter der Malware steckt die berüchtigte Lazarus-Gruppe. Hierfür haben die Security-Experten des europäischen IT-Sicherheitsherstellers Ähnlichkeiten mit früheren Operationen und Vorgehensweisen der Hacker-Gruppe entdeckt. Die Backdoor namens Vyveva besitzt mehrere Spionage-Funktionen, wie das Sammeln von Informationen auf dem Zielcomputer und deren Weiterleitung an Lazarus-Rechner. Auch eine Unterbrechung der IT-Systeme wäre möglich gewesen. Über das Tor-Netzwerk kommuniziert das Spionageprogramm mit seinem Command & Control (C&C)-Server. Ihre Ergebnisse haben die ESET Forscher nun auf WeliveSecurity veröffentlicht.

„Vyveva weist zahlreiche Ähnlichkeiten im Code mit älteren Lazarus-Samples auf. Darüber hinaus deuten der Einsatz eines gefälschten TLS-Protokolls bei der Netzwerkkommunikation, die Verkettung von Kommandozeilen sowie die Art, wie die Verschlüsselung und die Tor-Dienste genutzt werden, auf die APT-Gruppe hin. Daher können wir die Backdoor mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zuschreiben“, sagt Filip Jurčacko, der ESET Forscher, der Vyveva analysiert hat.

Die Untersuchungen des europäischen IT-Sicherheitsherstellers deuten darauf hin, dass Vyveva gezielt eingesetzt wurde. Die ESET-Forscher konnten nur zwei Opferrechner finden, bei denen es sich um Server eines südafrikanischen Logistikunternehmens handelt. Bei der Analyse durch die ESET Forscher kam heraus, dass Vyveva seit mindestens Dezember 2018 im Einsatz ist.

Die Backdoor führt Befehle aus, die von der Hackergruppe ausgegeben werden, wie beispielsweise das Sammeln sensibler Daten. Auch gibt es einen Befehl, um Zeitstempel bei Dateien zu verändern. Die Kommunikation zum C&C-Server hält Vyveva über das Tor-Netzwerk und kontaktiert diesen in dreiminütigen Abständen. Dabei sendet das Spionageprogramm Informationen über den betroffenen Computer und seine Laufwerke. Hierbei kommen sogenannte Watchdogs zum Einsatz, die bei bestimmten Veränderungen am infizierten System eine Meldung an den C&C-Server schicken.

„Besonders interessant sind spezielle Watchdogs der Backdoor, die neu angeschlossene und abgetrennte Laufwerke überwachen. Auch gibt es einen Watchdog, der die Anzahl aktiver Sessions überwacht. Das kann zum Beispiel die Anzahl angemeldeter Benutzer sein. Diese Komponenten können eine Verbindung zum Command and Control (C&C) Server außerhalb des regulären, vorkonfigurierten Drei-Minuten-Intervalls auslösen“, erklärt Jurčacko.

Im weltweiten Warenhandel tauschen Logistikunternehmen untereinander Daten aus und sind häufig auch miteinander vernetzt. Daher ist es nicht auszuschließen, dass hier weitere Firmen von diesem Angriff betroffen sind.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

6 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

2 Wochen ago