Samen met een onderzoeksteam van Bayerischer Rundfunk (BR) en Norddeutscher Rundfunk (NDR), onderzoekers van Ruhr-Universität Bochum hebben ontdekt hoe de hackgroep Winnti, ook bekend als APT10, begaat zijn aanvallen op Duitse en internationale bedrijven die tot nu toe het slachtoffer zijn geworden. Winnti zou al minstens 10 jaar vanuit China opereren, bedrijven wereldwijd te bespioneren. In Duitsland, aanvallen op de bedrijven Thyssen-Krupp en Bayer zijn aan het licht gekomen.

Na analyses uitgevoerd door het team onder leiding van professor Thorsten Holz van het Horst Görtz Instituut voor IT-beveiliging in Bochum, ten minste een dozijn bedrijven zijn getroffen door Winnti-software, waaronder zes DAX-bedrijven. De belangrijkste doelwitten zijn ondernemingen uit de chemische industrie en de halfgeleiderindustrie, farmaceutische en telecommunicatie-industrie en fabrikanten van videospelletjes. Op 24 juli 2019 berichtten de media over de onderzoeksresultaten.

Modulaire malware

Het persbureau BR en NDR raadpleegde Thorsten Holz en zijn Ph.D. student Moritz Contag als medeonderzoekers. Ze zijn experts in softwareanalyse, specifiek in binaire code-analyse. Ze wilden de werking van Winnti-spionage in detail te weten komen.

"Vandaag, er zijn drie generaties Winnti-software, " legt Thorsten Holz uit, een spreker op het Casa Cluster of Excellence (Cyber-Security in the Age of Large-Scale Adversaries). "De software is modulair opgebouwd. De groep kan alle modules gebruiken om malware te assembleren, specifiek voor het betreffende doel en op maat van het slachtofferbedrijf." Bijvoorbeeld, het bouwpakket kan een module bevatten die de software verbergt op een van de servers van de beoogde onderneming, één module die informatie verzamelt op het intranet van het bedrijf, en een module die een extern communicatiekanaal tot stand brengt.

Controleserver voor malware gedeeltelijk geïntegreerd in intranet

De binaire code van de software bevat een configuratiebestand met opties voor het beheersen van de malware. Binaire code kan direct door de processor worden uitgevoerd, maar het is min of meer onleesbaar voor mensen. De IT-experts uit Bochum vertaalden de code in leesbare taal en toonden aan dat de bestanden, bijvoorbeeld, informatie over welke server de malware beheerde en waar de malware zich in het systeem van het slachtoffer bevond.

De hackgroep gebruikte vaak externe servers om de malware te controleren, maar soms werden hiervoor gecompromitteerde intranetservers gebruikt, te. "Interessant genoeg, de configuratiebestanden bevatten ook hints van welke bedrijven of organisaties zijn aangevallen, " legt Thorsten Holz uit. "Vermoedelijk, dit helpt de groep bij het organiseren van hun aanvallen."

De geanalyseerde malwarebestanden zijn geëxtraheerd uit de Virustotal-database. Elke gebruiker kan deze dienst gebruiken om bestanden te uploaden en te laten controleren door 50 virusscanners. Alle geüploade bestanden worden opgeslagen in een database.

Na analyse van verschillende versies van de malware, Moritz Contag gebruikte zijn bevindingen om enkele honderden configuratiebestanden te analyseren. Hij heeft ook met succes certificaten geëxtraheerd die door de aanvallers werden gebruikt om hun malware beter te verbergen.

De onderzoeksjournalisten namen contact op met 14 bedrijven om hen te waarschuwen voor een mogelijke malware-infectie. Sommige van de bedrijven die het doelwit waren, gaven toe dat ze het slachtoffer waren geworden van een aanval; verschillende analyses lopen nog. De Winnti-groep richt zich niet alleen op bedrijven, maar ook de regering van Hongkong. De media vermoeden dus dat Winnti zich niet alleen bezighoudt met industriële, maar ook in politieke spionage.

Malware-infectie wordt vaak uitgevoerd via phishing-e-mails. Als een gebruiker op een link klikt of een bijlage in zo'n e-mail opent, Winnti-software installeert zichzelf op het systeem. De aanvallers gebruiken dat systeem vervolgens voor verdere aanvallen binnen het intranet. De software kan zich onopgemerkt verbergen op een geïnfecteerde server totdat deze wordt geactiveerd door een signaal van de controleserver. Vervolgens, het programma communiceert met de controleserver via een versleuteld kanaal, bijvoorbeeld, door specifieke gegevens van het intranet naar de aanvallers te sturen.

"Onze analyse heeft ook aangetoond dat de Winnti-software vaak weken of maanden inactief blijft; dan wordt het een dag of misschien een week actief, voordat u weer uitschakelt, ' zegt Thorsten Holz.

Aanvallen op Linux-systemen gedetecteerd

Winnti-software is gericht op het infecteren van Windows-systemen. Echter, er is nu ook een versie voor Linux, ontdekt in maart 2019. "We hebben deze malwareversie bestudeerd, te, "zegt Thorsten Holz. "Het werkt ongeveer zoals Winnti."