Vor zwei Jahren lud ein Konto mit dem Namen „shanhai666“ neun schädliche NuGet-Pakete hoch. Dies löste einen komplexen Angriff auf die Software-Lieferkette aus.
Laut dem Unternehmen Socket, das sich auf Lieferkettensicherheit spezialisiert hat, wurden die Pakete insgesamt 9.488 Mal heruntergeladen. Darüber hinaus sind spezifische Auslöser für August 2027 und November 2028 festgelegt.
Kush Pandya, ein Mitglied des Socket-Teams, entdeckte den Akteur hinter der Kampagne, die insgesamt 12 Pakete veröffentlichte. Neun der Pakete enthalten schädliche Routinen, während drei voll funktionsfähige Implementierungen sind, die den Rest als „glaubwürdig“ tarnen
Pandya glaubt, dass der Hacker legitime Bibliotheken zusammen mit bösartigen Bibliotheken verwendet hat, um Entwickler dazu zu verleiten, die Pakete zu installieren, ohne dass bei routinemäßigen Tests Anomalien auffallen.
„Legitime Funktionalität verschleiert die etwa 20 Zeilen umfassende Schadsoftware, die in Tausenden von Zeilen legitimen Codes verborgen ist, und verzögert die Entdeckung, da Abstürze selbst nach der Aktivierung als zufällige Fehler und nicht alsmatic Angriffe erscheinen“, schrieb er in einem Bericht vom 6. November.
Die neun identifiziertendentSchadsoftwarepakete die in der Fertigungs- und Prozessautomatisierung eingesetzt werden.
Sockets Forschung ergab, dass die Datenbank anfällig für einen doppelten Lieferkettenangriff sein könnte, der sowohl die Softwareentwicklung als auch den Betrieb kritischer Infrastrukturen bedroht.
Pandya bezeichnete das Paket Sharp7Extend als das gefährlichste der bösartigen Pakete, da es sich um einen Tippfehler der legitimen Sharp7-Bibliothek .NET-Implementierung zur Kommunikation mit speicherprogrammierbaren Steuerungen vom Typ Siemens S7 handelt.
Durch Anhängen von „Extend“ an den vertrauenswürdigen Namen kann das SchadprogrammdentCode installieren, indem Automatisierungsingenieure nach Verbesserungen für Sharp7 suchen. Das Paket enthält die vollständige, unveränderte Sharp7-Bibliothek zusammen mit seiner Schadsoftware. Die Standard-SPS-Kommunikation scheint während der Tests einwandfrei zu funktionieren, die eingebettete Schadsoftware ist jedoch maskiert.
„Sharp7Extend zielt auf industrielle SPSen mit zwei Sabotagemechanismen ab: sofortiges zufälliges Beenden von Prozessen und stille Schreibfehler, die 30 bis 90 Minuten nach der Installation beginnen“, sagte der Sicherheitsforscher.
Die Schadsoftwarepakete nutzen C#-Erweiterungsmethoden, um Datenbank- und SPS-Operationen gefährlichen Code hinzuzufügen, ohne den Originalcode zu verändern. Bei Datenbankpaketen wird den Befehlstypen eine .Exec()-Methode hinzugefügt, während Sharp7Extend den S7Client-Objekten eine .BeginTran()-Methode hinzufügt.
Die Erweiterungen werdenmaticausgeführt, sobald eine Anwendung eine SPS-Aktion oder eine Abfrage durchführt. Nach dem Auslösedatum generiert die Malware eine Zufallszahl zwischen 1 und 100.
Überschreitet die Anzahl 80, was mit einer Wahrscheinlichkeit von 20 % eintritt, beendet das Paket den laufenden Prozess sofort mit `Process.GetCurrentProcess().Kill()`. Es erfolgt dann ein abrupter Abbruch ohne Warnungen oder Logeinträge, die auf Netzwerkinstabilität, Hardwarefehler oder andere harmlose Systemfehler hindeuten könnten.
Sharp7Extend implementiert außerdem eine verzögerte Fehlererkennung beim Schreiben mithilfe eines Timers, der eine Karenzzeit von 30 bis 90 Minuten festlegt. Nach Ablauf dieser Karenzzeit beginnt eine Filtermethode namens ResFliter.fliter(), Schreibvorgänge in 80 % der Fälle stillschweigend fehlschlagen zu lassen.
Betroffen sind die Methoden WriteDBSingleByte, WriteDBSingleInt und WriteDBSingleDInt. Die Operationen scheinen erfolgreich zu sein, obwohl die Daten tatsächlich nicht in die SPS geschrieben werden.
Timer eingestellt auf August 2027 bis November 2028
Laut einem Bericht von Socket Security sollen bestimmte datenbankorientierte Pakete im Zentrum der Kampagne, darunter MCDbRepository, ihre Payload am 8. August 2027 ausführen. SqlUnicornCore und SqlUnicornCoreTest könnten voraussichtlich am 29. November 2028 aktiv werden.
„Diese gestaffelte Vorgehensweise gibt dem Angreifer ein längeres Zeitfenster, um Opfer zu sammeln, bevor die Malware mit verzögerter Aktivierung ausgelöst wird, während gleichzeitig industrielle Steuerungssysteme gestört werden“, erklärte Pandya.
Die Untersuchung von Socket ergab, dass der Name „shanhai666“ und Teile des Quellcodes chinesischen Ursprungs sind.
Im September entdeckten Cybersicherheitsanalysten Code auf Microsoft Internet Information Services (IIS)-Servern, der Sicherheitslücken ausnutzte . Bei der Operation handelt es sich um bösartige IIS-Module, die zur Ausführung von Remote-Befehlen und zum Suchmaschinenoptimierungsbetrug (SEO) eingesetzt werden.
