Seit 10 Jahren aktiv: Malware wird identifiziert

Eine hochentwickelte Malware ist seit mehr als einem Jahrzehnt im Umlauf – ohne, dass sie erkannt wurde. Forscher von Symantec stießen auf das Backdoor-Programm Daxin: Eine Schadsoftware, die offenbar in einer seit langem geführten Spionagekampagne gegen Regierungen und andere Ziele zusammen mit kritischer Infrastruktur eingesetzt wird.

Die Backdoor ermöglicht es, beliebige Prozesse auszuführen und mit ihnen zu interagieren. Obwohl die Möglichkeiten von Daxin begrenzt sind, liegt seine Stärke in der Kommunikation und der Fähigkeit, heimlich zu agieren.

Laut Symantec gibt es deutliche Hinweise darauf, dass Daxin verschiedene Kommunikations- und Datenerfassungsoperationen auf infizierten Computern durchführt. Die gesammelten Daten seien im November 2021 von Agenten eingesetzt worden, die Verbindungen zu China haben. Sie nutzten die Spionageergebnisse gegen Regierungen und Organisationen, die für das Land von strategischem Interesse sind. Darüber hinaus wurden auf einigen der Computer, auf denen Daxin eingesetzt wurde, weitere Tools gefunden, die mit chinesischen Spionen im Zusammenhang stehen.

Obwohl die jüngsten Daxin-Angriffe im vergangenen Jahr stattfanden, stammt die früheste bekannte Version der Malware aus dem Jahr 2013. Sie enthielt alle fortschrittlichen Funktionen, die auch in neueren Varianten zu finden sind. Für Symantec deutet dies darauf hin, dass der Schädling bereits vor etwa 10 Jahren weit verbreitet war.

Die Malware ist die am weitesten fortgeschrittene unter den Schadsoftware-Varianten, die Symantec-Forscher in Verbindung mit China identifiziert haben. Die Malware scheint darauf optimiert zu sein, tief in die Netzwerke der Opfer einzudringen und Daten zu extrahieren, ohne Verdacht zu erregen.

Symantec arbeitet mit der Cybersecurity and Infrastructure Security Agency (CISA) zusammen. So wollen sie die verschiedenen Regierungen, auf die Daxin abzielt, zur Zusammenarbeit bei der Erkennung und Behebung der Sicherheitslücken auffordern.

Modus operandi

Die Daxin-Backdoor tritt im Format eines Windows-Kerneltreibers auf. Dabei scheint sie sich auf Kommunikationstechniken zu konzentrieren, die sich in den normalen Datenverkehr der Netzwerke der Opfer einfügen. Insbesondere vermeidet sie es, ihre eigenen Netzwerkdienste zu starten. Stattdessen verwendet sie legitime Dienste, die auf den infizierten Computern laufen.

Daxin kann kommunizieren, indem er legitime TCP/IP-Verbindungen unterschlägt. Zu diesem Zweck überwacht er eingehende TCP-Verkehrsmuster. Sobald ein solches Muster erkannt wird, trennt er die Verbindung mit dem eigentlichen Empfänger und übernimmt die Verbindung. Anschließend führt er einen benutzerdefinierten Schlüsselaustausch mit der Gegenstelle durch. Wenn der Schlüsselaustausch erfolgreich ist, öffnet er einen verschlüsselten Kommunikationskanal, um Befehle zu empfangen und Antworten zu senden.

Die von Daxin genutzten gekaperten TCP-Verbindungen bieten ein hohes Maß an Geheimhaltung für die Kommunikation und helfen beim Aufbau von Netzwerkverbindungen, selbst wenn strenge Firewall-Regeln vorhanden sind. Dieser Modus Operandi verringert auch die Wahrscheinlichkeit, dass die Backdoor von Systemen entdeckt wird, die Anomalien im Netzwerkverkehr überwachen. Dazu gibt es spezielle Nachrichten, die rohe Datenpakete kapseln, welche von der lokalen Netzwerkkarte übertragen werden.

Das vielleicht interessanteste Merkmal von Daxin ist seine Fähigkeit, einen Kommunikationskanal zwischen infizierten Computern aufzubauen. Die Liste der Knoten wird hierbei vom Angreifer mit einem einzigen Befehl übermittelt wird. Für jeden Verzweigungspunkt enthält die Nachricht die Details, die zum Aufbau der Kommunikation erforderlich sind. Dazu gehören insbesondere die IP-Adresse, die TCP-Portnummer sowie die Anmeldeinformationen, die beim benutzerdefinierten Schlüsselaustausch verwendet werden sollen. Wenn Daxin diese Nachricht erhält, wählt es den nächsten Knoten in der Liste aus. Anschließend verwendet es seinen eigenen TCP/IP-Stack, um eine Verbindung zu dem TCP-Server herzustellen, der in dem ausgewählten Eintrag aufgeführt ist.

Eine bekannte Taktik von Angreifern ist es, mehrere Sprünge zwischen Knoten in den Netzwerken der Opfer zu machen, um Firewalls zu umgehen und keinen Verdacht zu erregen. Dies aber geschieht normalerweise in mehreren Schritten. Im Fall von Daxin wird dieser Prozess in einer einzigen Operation durchgeführt, die in gut geschützte Netzwerke eindringen und sich dort mit einem Schlag verbreiten kann.

Zu den Opfern von Daxin gehören Regierungsbehörden in Asien und Afrika, darunter auch Justizministerien.