Keyvisual Sicherheitshinweise

Mögliche Cyberspionage mittels der Schadsoftware GOLDENSPY

Bildwortmarke des Bundesamtes für Verfassungsschutz (BfV) und des Bundeskriminalamtes (BKA), Stand: 21.08.2020

Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) sowie dem Bundeskriminalamt (BKA) liegen Erkenntnisse vor, dass deutsche Unternehmen mit Sitz in China möglicherweise mittels der Schadsoftware GOLDENSPY ausgespäht werden. Ziel dieser gemeinsamen Warnmeldung ist es, deutsche Wirtschaftsunternehmen zu sensibilisieren und mit den notwendigen technischen Informationen zu versehen, um eine mögliche Infektion detektieren zu können.


Sachverhalt

IT-Sicherheitsdienstleister sowie das FBI berichten aktuell über folgenden Sachverhalt:


Ausländische Unternehmen, die in China aktiv sind, sind verpflichtet eine Steuersoftware zu installieren, um automatisiert und softwaregestützt Steuerabgaben an das zuständige Finanzamt abzuführen sowie Finanztransaktionen abzuwickeln. Dabei soll es sich um die legitime chinesische Steuersoftware INTELLIGENT TAX (auch GOLDENTAX genannt) handeln. Durch die Installation dieser legitimen Software soll jedoch eine Spionagesoftware mit dem Namen GOLDENSPY nachgeladen werden, durch die Dritte Zugriff auf die Netzwerke der betroffenen Unternehmen erlangen.


Durch BfV und BKA wurden die bekannten technischen Parameter zusammengetragen und um eigene Erkenntnisse ergänzt. Diese werden mit dieser Warnmeldung zum Schutz deutscher Wirtschaftsunternehmen zur Verfügung gestellt.


Mutmaßliche Funktionsweisen der Schadsoftware

Gemäß den Erkenntnissen von IT-Dienstleistern kann nach Ausführung der legitimen Steuersoftware die zusätzliche Datei plugins.exe ausgeführt und dadurch automatisiert und ohne Mitteilung an den Nutzer nach ca. zwei Stunden die GOLDENSPY-Software im betroffenen System nachgeladen und installiert werden. Dadurch könnten Dritte vollumfängliche Zugriffsmöglichkeiten inklusive Administratorenrechte erhalten. Durch die Installation von GOLDENSPY wird eine weitere Datei mit der Bezeichnung svminstaller.exe nachgeladen, die zwei identische .exe-Dateien mit der Bezeichnung svm.exe und svmm.exe im Opfersystem installiert (dabei handelt es sich um zwei identische Versionen von GOLDENSPY), welche von der Domain ningzhidata[.]com übertragen werden. Die beiden Dateien weisen die folgenden Backdoor-Fähigkeiten auf:


  • Beide Dateien werden als Autostart Services installiert, die sich - sollte einer der beiden Services beendet werden - gegenseitig neu starten. Wird eine der beiden Dateien gelöscht, wird eine neue Version nachgeladen und ausgeführt, was die Entfernung der Malware von einem infizierten System aufgrund der zusätzlichen Nutzung von Administratorenrechten erschwert.

  • Durch die Deinstallationsfunktion der INTELLIGENT TAX-Software wird GOLDENSPY nicht deinstalliert.

  • GOLDENSPY wird erst ca. zwei Stunden nach Abschluss der Installation der Steuersoftware heruntergeladen und installiert, ohne Benachrichtigung auf dem System des Opfers. Nach Ausführung nimmt die Software Kontakt mit einem Server auf, der nicht zur offiziellen Steuersoftware gehört.

  • Nach den ersten Versuchen, den C2-Server zu kontaktieren, werden die Beacon-Zeiten nach dem Zufallsprinzip gesetzt, was eine Identifikation als typische Beaconing-Malware erschwert.

Uninstall GOLDENSPY

Bereits kurz nach Bekanntwerden der Vorfälle und der Schadsoftware GOLDENSPY wurde ein weiteres Tool an betroffene Unternehmen ausgeliefert, wodurch GOLDENSPY mittels der Datei AWX.exe vollständig vom Opfersystem entfernt wird. Zu den Funktionsweisen gehören u. a. das Löschen von Registry-Einträgen sowie LogFiles. Nach erfolgreicher Bereinigung entfernt sich das Tool ebenfalls selbstständig vom betroffenen System. Da bereits mehrere IT-Sicherheitslösungen die AWX.exe als maliziös erkennen, wurde hier eine weiterentwickelte Version (BWXT.exe) in Umlauf gebracht. Die bereits beschriebenen Funktionsweisen wurden beibehalten.


Handlungsempfehlung

Grundsätzliche Risikoabwägung und Prävention

Zwecks Erreichung eines angemessenen IT-Sicherheitsniveaus wird grundsätzlich eine Orientierung an öffentlich verfügbaren Standards empfohlen, etwa den Richtlinien des BSI-Grundschutzes oder den praxisbewährten CIS Controls des Centers for Internet Security.


Für den Einsatz von Software oder Systemen, welche zur Erfüllung von rechtlichen Vorgaben in anderen Ländern zwingend genutzt werden müssen, wird empfohlen, diese nicht in die Domäne zu integrieren, sondern diese – soweit möglich – von kritischen Unternehmensnetzen getrennt zu betreiben. Auf diesen Systemen sollten nur die für die Erfüllung der rechtlichen Vorgaben benötigten Daten verarbeitet werden. Nicht mehr benötigte Daten sollten regelmäßig von diesen Systemen gelöscht werden. Verwendete Zugangsdaten sollten exklusiv genutzt und nicht an anderer Stelle weiterverwendet werden.

Detektion

Es wird empfohlen, die eigenen Systeme mit den zur Verfügung gestellten IOCs und Detektionssignaturen zu prüfen. Insbesondere sollte in Logdateien und aktiven Netzwerkverbindungen nach Verbindungen zu den im Bereich IOCs genannten externen Systemen gesucht werden. Außerdem sollte in den Windows-Eventlogs nach der Erstellung von Services mit den Namen svm oder svmm gesucht werden.


Die beigefügte YARA-Regel kann ebenfalls zur Detektion genutzt werden.

Reaktion

Bei Hinweisen auf eine Infektion bzw. verdächtiges Systemverhalten sollten die erprobten Pläne für Incident Response ausgeführt werden, um das Ausmaß einer etwaigen Kompromittierung zu erfassen, einzudämmen und effektiv begegnen zu können. Systeme, auf denen verdächtige Software installiert war, sollten auch ohne Hinweise auf eine aktive Infektion, unter Berücksichtigung der im Bereich Prävention genannten Empfehlungen, neu aufgesetzt werden.


Darüber hinaus bieten wir Ihnen zusätzliche Hintergrundinformationen an. Hierzu stehen wir Ihnen unter folgenden Kontaktdaten gerne zur Verfügung:


Bundesamt für Verfassungsschutz - Cyberabwehr
Tel.: 0221-792-2600 oder
E-Mail: cyberabwehr@bfv.bund.de


Bundeskriminalamt
Tel.: 02225-890 oder
E-Mail: st23@bka.bund.de


Download PDF-Datei


Download Textdatei

Druckansicht

Gebäude 1

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000
  • Gemeinsam stark für unsere Sicherheit Details
  • Güvenliğimiz İçin Hep Beraber Daha Güçlüyüz Ayrıntılar
  • لندافع سويا وبصورة قوية عن أمننا وسلامتنا التفاصيل

Publikationen

Verfassungsschutzbericht Brandenburg 2019 – Pressefassung

Verfassungsschutzbericht Brandenburg 2019 – Pressefassung

Stand: September 2020
Weitere Informationen
Verfassungs­schutz­bericht Bremen 2019

Verfassungs­schutz­bericht Bremen 2019

Stand: Juli 2020
Weitere Informationen
Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungsschutz­bericht 2019

Verfassungsschutz­bericht 2019

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungsschutz­bericht Rheinland-Pfalz 2019

Verfassungsschutz­bericht Rheinland-Pfalz 2019

Stand: Mai 2020
Weitere Informationen
Lagebericht „Rechtsextremisten in Sicherheitsbehörden“

Lagebericht „Rechtsextremisten in Sicherheitsbehörden“

Stand: September 2020
Weitere Informationen Download PDF-Datei
Verfassungs­schutz­bericht Sachsen-Anhalt 2019 – Pressefassung

Verfassungs­schutz­bericht Sachsen-Anhalt 2019 – Pressefassung

Stand: Juli 2020
Weitere Informationen
Verfassungsschutzbericht Nordrhein-Westfalen 2019

Verfassungsschutzbericht Nordrhein-Westfalen 2019

Stand: Juni 2020
Weitere Informationen