Verseuchte Programmierwerkzeuge Entwickler verbreiten ungewollt infizierte PC-Spiele

Wer das Zombie-Spiel "Infestation" gespielt hat, bekam möglicherweise eine Hintertür auf seinem Computer installiert. Sicherheitsforscher sehen Verbindungen zu einem jüngst bekannt gewordenen Hack.

Zombie in "Infestation" (ehemals "The War Z"): mit Schadsoftware kompromittiert
Hammerpoint Interactive

Zombie in "Infestation" (ehemals "The War Z"): mit Schadsoftware kompromittiert


Der effektivste Weg, Schadsoftware zu verbreiten, führt über einen vertrauenswürdigen Lieferanten. "Supply chain attacks" heißen solche Hacks - Lieferketten-Angriffe. Ein perfides Beispiel dafür hatte Kaspersky Lab vor einigen Wochen aufgedeckt: Zehntausende Kunden von Asus wurde über den offiziellen Updateserver des Computerherstellers heimlich eine Hintertür auf ihren Geräten installiert, signiert mit einem legitimen Asus-Zertifikat und daher völlig unverdächtig. Nun haben Kaspersky Lab und ESET eine Variante dieser Angriffstechnik entdeckt. Das Ziel waren Gamer, die Hintermänner wahrscheinlich dieselben.

Der Infektionsweg begann demnach mit jener Software, die manche Spielehersteller zur Entwicklung von Games verwenden. In diesem Fall war es ein Teil von Microsofts Visual Studio. Drei asiatische Spielestudios verwendeten eine Version dieser Software, die bereits mit Schadsoftware kompromittiert war.

Unklar ist, ob die Studios illegale Kopien der Software einsetzten, die sie sich über eine Tauschbörse oder andere inoffizielle Quellen besorgt hatten. Die Alternative wäre, dass Hacker in die Computer des Spieleherstellers eingedrungen sind und dessen Version von Microsoft Visual Studio manipuliert haben.

Infiziert durch "Infestation"

Das Ergebnis waren in jedem Fall Spiele, die von den Herstellern signiert und veröffentlicht wurden - und auf den Computern der Spieler eine Hintertür einrichteten, über die weitere Schadsoftware nachgeladen werden konnte. Eines der Spiele heißt "Infestation: Survivor Stories". Das Survival-Game der thailändischen Firma Electronics Extreme basiert auf dem 2013 veröffentlichten Quellcode von "The War Z", die Spieleserver wurden allerdings längst abgeschaltet.

Das zweite kompromittierte Spiel ist ein Ego-Shooter namens "PointBlank" und stammt vom koreanischen Anbieter Zepetto. Den Namen und Hersteller des dritten Spiels hat Kaspersky Lab nicht veröffentlicht.

Das russische IT-Sicherheitsunternehmen hat bisher 92.000 infizierte Maschinen bei seinen Kunden entdeckt, heißt es bei "Wired". ESET hatte bereits im März - ohne viele Details - über die Lieferketten-Attacken berichtet und geschrieben, "es wäre nicht überraschend, wenn es Zehntausende bis Hunderttausende Opfer gibt".

Neu ist die Vorgehensweise nicht: 2015 entdeckten Sicherheitsfirmen Hunderte Apps mit Schadsoftware in Apples App Store. Sie alle waren mit einer ihrerseits infizierten Version von Apples Entwickler-Software XCode erstellt worden, die über einen inoffiziellen, chinesischen Download-Server verbreitet wurde.

Russen und Chinesen werden ausgespart

Im aktuellen Fall sind vor allem Gamer in Thailand, auf den Philippinen und in Taiwan betroffen. Bemerkenswert an der in den Spielen versteckten Malware ist die Tatsache, dass sie nicht aktiv wird, wenn die Systemsprache des infizierten Computers Russisch oder vereinfachtes Chinesisch ist.

Vieles spricht dafür, dass hinter dem Angriff auf die Spieleanbieter die gleichen Täter stecken, wie hinter dem Asus-Hack und dem Fall CCleaner von 2017. Damals waren mehr als zwei Millionen Nutzer der Wartungssoftware über ein offizielles Update mit einer Schadsoftware infiziert worden.

Es gibt Ähnlichkeiten im Schadcode, die Vorgehensweise deckt sich, und in zwei der drei Attacken wurden kompromittierte Server einer koreanischen Universität zur Kommunikation der Täter mit den infizierten Endgeräten benutzt.

Die Lehre aus dem Fund betrifft laut Kaspersky Lab vor allem die Softwareentwickler. Sie sollten sich fragen, ob die von ihnen selbst verwendeten Programme wirklich aus vertrauenswürdigen Quellen stammen und wann sie zuletzt überprüft haben, ob die Programme nachträglich manipuliert wurden.

pbe



insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
smartphone 24.04.2019
1. Updates verbieten
Im Gegensatz zum angeblich abgehalfterten XP hat man bei Win10 (prof) praktisch keine Möglichkeit, diese Updatepraxis zu unterbinden. Es wird geradezu erwartet laufend am Internet zu hängen. Es sollte daher geboten sein , das die Regierungen(!) diesen Softwarehersteller verbieten auf ungewünschte Updates inkl Backdoors laufend zuzugreifen .
apfelmännchen 25.04.2019
2. @Smartphone
Der Artikel beschreibt allerdings, wie man Malware auf den Computer bekommt, ohne Online zu sein. Mit der Verweigerung von Updates bleiben Sicherheitslücken bleiben offen und der mit dem Spiel installierte Trojaner wird auch langfristig nicht erkannt - und kann erheblichen Schaden anrichten. Dazu braucht der Computer nichtmal Online sein, Verschlüsselungstrojaner funktionieren auch so.
Jöel L. 25.04.2019
3. Wieso verbieten?
Zitat von apfelmännchenDer Artikel beschreibt allerdings, wie man Malware auf den Computer bekommt, ohne Online zu sein. Mit der Verweigerung von Updates bleiben Sicherheitslücken bleiben offen und der mit dem Spiel installierte Trojaner wird auch langfristig nicht erkannt - und kann erheblichen Schaden anrichten. Dazu braucht der Computer nichtmal Online sein, Verschlüsselungstrojaner funktionieren auch so.
Wieso verbieten? Eher vorschreiben! Das ist potentiell ein idealer Vertriebskanal für Staatstrojaner.
apfelmännchen 25.04.2019
4.
Zitat von Jöel L.Wieso verbieten? Eher vorschreiben! Das ist potentiell ein idealer Vertriebskanal für Staatstrojaner.
Das Einfallstor zur Installation von Trojanern haben sie schon auf der Festplatte, wenn sie WindowsXP ungepatcht installlieren und dabei online sind. Dann ist der PC im Schnitt in weniger als 4 Minuten infiziert. https://winfuture.de/news,40836.html MSBLAST heißt der Virus, zu erkennen an: "Der Dienst Remoteprozeduraufruf (RPC) wurde unerwartet beendet" 60 sec bis zum Neustart... Probieren sie es aus ;-)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.