Zum Hauptinhalt springen

GoldenSpy – wie ausländische Unternehmen durch China ausspioniert werden

Trustwave deckt Backdoor in Steuersoftware auf

Sprache: Englisch
Größe: 26 Seiten
Erscheinungsjahr: 2020
Besonderheit: registrierungsfrei

Wer mit China Geschäfte machen will, muss dazu eine spezielle Steuersoftware installieren. Doch die hat es in sich. Die Details lesen Sie in diesem Spy-Report.

Inhalt:

Dass die USA und China Software mit Backdoors versehen, um Unternehmen und Bürger anderer Staaten auszuspionieren, ist ein offenes Geheimnis. In den meisten Fällen bleiben diese Aktionen jedoch unentdeckt oder werden vertuscht. Im Fall „GoldenSpy“ konnte Trustwave allerdings den Nachweis erbringen, dass eine Steuersoftware, die für Geschäfte mit China genutzt werden muss, mit einer Backdoor verseucht ist. Trustwave enthält sich ausdrücklich einer Schuldzuweisung, aber die Tatsache, dass die Installation von einer chinesischen Bank obligatorisch verlangt wurde, dürfte den potenziellen Täterkreis deutlich einschränken. Die Security-Spezialisten raten allen Unternehmen, die mit China Geschäfte machen, ihre Systeme auf Kompromittierung hin zu untersuchen.

Der Report führt Sie in das dunkle Herz von GoldenSpy. Lesen Sie unter anderem.

  • Wie die Bedrohung entdeckt wurde.
  • Welche Indikatoren für eine Kompromittierung durch GoldenSpy sprechen.
  • Welche Infrastruktur hinter den Angreifern steckt

Originalauszug aus dem Dokument:

GoldenSpy (svm.exe) receives updates and commands from several subdomains of ningzhidata[.]com. The domain was registered to Alibaba Cloud Computing on September 22, 2019, however, there are no records of it on the Internet before April of 2020. This domain and its subdomains have resolved to a number of IP addresses, however, based on their certificates, most are a part of the qcloud CDN and appear to only host downloads. There are two IP addresses which we believe to be the actual servers behind ningzhidata[.]com, 49.232.156.177 and 223.112.21.2.

Of these two servers the first is the most important. It is the same IP which is hardcoded into plugin.exe as part of the svm.exe installation process. It is also consistently reported to abuse lists for attempting to log into computers without authorization.

The installation of svm.exe is initiated by the plugin.exe component of the Aisino tax software. The following diagram shows the network connections made in the setup and operation of svm.exe.

GoldenSpy – wie ausländische Unternehmen durch China ausspioniert werden

Trustwave deckt Backdoor in Steuersoftware auf

Inhaltstyp: Whitepaper

Kommentare und Feedback (0)