Forscher hackt Apple und Microsoft

  • Ein Forscher behauptet, sich mit einem neuartigen Supply-Chain-Angriff in die internen Systeme von großen Unternehmen wie Apple und Microsoft gehackt zu haben.

    Alex Biran erstellte bösartige Node-Pakete und lud sie unter unbenannten Namen in die npm-Registry hoch. Die Node-Pakete sammelten durch ihr Preinstall-Skript Informationen über Maschinen, auf denen sie installiert wurden.

    Als nächstes fand Biran einen Weg, die Pakete dazu zu bringen, Informationen an ihn zurückzusenden.

    “Da ich wusste, dass die meisten der möglichen Ziele tief in gut geschützten Unternehmensnetzwerken liegen würden, dachte ich, dass DNS-Exfiltration der richtige Weg wäre”, schrieb Biran.

    Die Daten wurden hexkodiert und als Teil einer DNS-Anfrage verwendet, die den benutzerdefinierten autoritativen Namensserver des Forschers entweder direkt oder über zwischengeschaltete Resolver erreichte. Biran fand dann private Paketnamen innerhalb von Javascript-Dateien.

    “Apple, Yelp und Tesla sind nur einige Beispiele für Unternehmen, deren interne Namen auf diese Weise offengelegt wurden.

    In der zweiten Jahreshälfte 2020 scannte Biran Millionen von Domains, die zu den anvisierten Unternehmen gehörten, und extrahierte haufenweise Javascript-Paketnamen, die nicht in der npm-Registry beansprucht worden waren. Er lud seinen bösartigen Code auf die Paket-Hosting-Dienste hoch und erreichte eine Erfolgsquote, die er als “einfach erstaunlich” bezeichnete.

    “Das Besetzen gültiger interner Paketnamen war eine fast todsichere Methode, um in die Netzwerke einiger der größten Tech-Firmen da draußen einzudringen, Remote-Code-Ausführung zu erlangen und es Angreifern möglicherweise zu ermöglichen, Hintertüren während der Builds hinzuzufügen”, sagte Biran.

    “Diese Art von Schwachstelle, die ich angefangen habe, als Abhängigkeitsverwirrung zu bezeichnen, wurde bis heute in mehr als 35 Unternehmen entdeckt, und zwar in allen drei getesteten Programmiersprachen.”

    Die überwiegende Mehrheit der betroffenen Unternehmen beschäftigte über tausend Mitarbeiter.

    “Dies ist ein unglaublich ernstes branchenweites Problem”, sagte Craig Young, leitender Sicherheitsforscher bei Tripwire, gegenüber dem Infosecurity Magazine.

    “Wenn Softwareentwicklungsfirmen ihren Mitarbeitern erlauben, beliebige Codierungsmodule aus öffentlichen Repositories herunterzuladen und damit zu arbeiten, setzen sie sich sowohl Sicherheits- als auch rechtlichen Risiken aus. In diesem Fall war es ein Forscher mit einer harmlosen ‘Phone Home’-Nutzlast, aber es hätte genauso gut ein APT sein können, der ein Malware-Implantat einsetzt, oder ein Patent-Troll, der einen kommerziell lizenzierten Algorithmus einsetzt.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com