Hacker-Gruppe nutzte offenbar Windows-Feature für Backdoor

Die Hacker-Gruppe Platinum soll Microsoft zufolge über den Hotpatching-Ansatz von Windows eine Hintertür in Systeme geöffnet haben. Ein solches Angriffsszenario wurde bereits 2013 beschrieben.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Hacker

(Bild: dpa, Frank Rumpenhorst)

Lesezeit: 1 Min.

Die seit 2009 aktive und politisch motivierte Hacker-Gruppe Platinum soll unter dem Deckmantel des legitimen Hotpatching-Prozesses von Windows Computer infiziert und ausspioniert haben, berichtet Microsoft.

Bei Hotpatching handelt es sich um eine Methode, um laufende Prozesse und Programmbibliotheken ohne Neustart zu patchen. Der Ansatz wurde in Windows Server 2003 implementiert, aber bereits in Windows 8 aufgrund der geringen Nutzung wieder entfernt.

Platinum soll Angriffe über betrügerische E-Mails und Zero-Day-Lücken eingeleitet haben. Anhand eines Samples in Form einer Programmbibliothek schildert Microsoft die Vorgehensweise. Demzufolge nutzte die Hacker-Gruppe die Hotpatching-Methode im ersten Ansatz dafür, um Programmbibliotheken mit erweiterten Rechten auszustatten.

Anschließend seien sie in der Lage gewesen, ihre präparierte Programmbibliothek über die Hotpatching-Methode als Backdoor in den svchost-Prozess zu injizieren. Dieses Prozedere im Kontext von legitimen Prozessen soll komplett unter dem Radar von Viren-Wächtern ablaufen.

Ein derartiges Angriffsszenario wurde bereits im Jahr 2013 vom Sicherheitsforscher Alex Ionescu skizziert.

Das analysierte Sample stammt aus dem Jahr 2015. Ob Platinum aktuell noch aktiv ist, ist nicht bekannt. Weitere Details zu der Arbeitsweise der Hacker-Gruppe kann man in einem von Microsoft-Sicherheitsforschern zusammengetragenen Dokument nachlesen (PDF-Donwload). (des)