Hackergruppe smugler malware ind i sikkerhedsopdateringer

Over tre år har gruppen ramt mindst seks virksomheder med deres angreb.

Hackergruppen er kendt som blandt andet Barium, ShadowPad eller Wicked Panda. De har specialiseret sig i angreb på forsyningskæden og er med stor sandsynlighed fra Kina.

Hvis du til daglig bruger en computer med Windows, så kender du måske til de opdateringer, du fra tid til anden skal installere, og som kommer fra producenten af computeren. Det kan være opdateringer til computerens trackpad eller wifi-modul.

Opdateringerne skal for eksempel gøre computeren mere stabil eller lappe sikkerhedshuller. Nu har it-sikkerhedsfirmaet Kaspersky afsløret, at hackere gennem flere år har skjult en skadelig kode (malware) i opdateringer fra blandet computerproducenten Asus og i programmet CCleaner.

Afsløringen af den skjulte kode i Asus' computere kom i marts, men det er nu kommet frem, at det er den samme gruppe af formodede kinesiske hackere, der står bag angrebene på Asus, Ccleaner og mindst tre andre virksomheder. Det rapporterer webmediet Wired.

Et angreb på forsyningskæden

At gemme malware i systemopdateringer eller i programmer, der er forudinstalleret af producenten, kaldes et angreb på forsyningskæden (supply chain attack), fordi det sker inden produktet bliver solgt i butikkerne.

Det betyder, at man som computerejer kan være udsat fra det øjeblik, man tager computeren i brug, fortæller Keld Norman, it-sikkerhedskonsulent ved Dubex.

- Mange gange spørger opdateringerne ikke, om de må opdatere. Har du købt en Asus-computer, så ligger det her software på computeren fra start.

Den skadelige kode kan for eksempel gemme sig i opdateringer til driver- programmer, der får basale dele som computerens wifi-modul eller anden elektronik i computeren til at virke.

I praksis kan det for eksempel foregå på den måde, at hackerne skaffer sig adgang til computeren hos en person, som udvikler drivers hos computerproducenten. Når personen lægger opdaterede versioner klar til download, så kommer den skadelige kode også med, når brugerne henter og installerer opdateringen.

Derefter har hackerne adgang til alle computere med den skadelige kode, hvis - og når - de ønsker.

Som at forgifte en brønd

Typisk rammes vi af virus eller anden skadelig kode, når vi klikker på et link i en email eller besøger en fordækt hjemmeside. Den skadelige kode breder sig, når mange begår den samme fejl.

Angreb på forsyningskæden er anderledes, fordi det svarer til at forgifte en brønd. Kun få mistænker, at problemerne kommer fra kilden selv, fordi drivers og programmer, der kommer direkte fra producenten, ofte har en slags digital plombering indbygget, der bekræfter at de er ægte.

På den måde klarer computerproducenterne eller it-virksomhederne hackernes arbejde: De sørger for, at den skadelige kode kommer ud på mange computere uden at vække mistanke. Eksempelvis fik hackergruppen installeret en falsk opdatering, som egentlig var et smuthul for hackere på tusindevis af computere fra ASUS.

Svært at beskytte sig mod truslen

Angrebene på forsyningskæden er svære at beskytte sig imod, fordi der kun skal få personer til at få dem til at lykkes, forklarer Keld Norman.

- Hvis NSA ville inficere Microsoft, så får man folk med en god uddannelse til at søge arbejde i Microsoft som udviklere. Og så har du en insider, som laver ulykker.

De mest oplagte mål for angreb på forsyningskæden i dag er, ifølge Norman, folk der ligger inde med viden, der kan bruges i spørgsmål om national sikkerhed, samt de firmaer, der producerer komponenter eller programmer. Altså ikke den gennemsnitlige dansker.

Ved angrebet på Asus-computerne var hackerne for eksempel kun ude efter 600 specifikke computere, har Kaspersky Lab efterfølgende udledt af den skadelige kode, der blev installeret.

Men det kan ændre sig, for eksempel hvis der udbryder krig, mener Norman.

- Hvis der blev krig en dag, og hackerne ville lægge hele landet ned, så kan det godt være at min computer, ligesom alle andre danskeres computer, pludselig slukker, fordi de har en bagdør installeret. Det ville gå ud over alle.

Facebook
Twitter