Malware volgt later
Met een rapport en een korte video legt Trustwave Spiderlabs redelijk gedetailleerd uit war GoldenSpy zo bijzonder maakt. Om te beginnen is de malware niet echt en volledig gebundeld met de legitieme software. Die software is natuurlijk een bijzondere vermelding waard. Het is een pakket der een at iedereen die zaken doet in China moet gebruiken. Schijnbaar wordt het geleverd met of geactiveerd door online bankier software.
In de banking software zit een backdoor. Die wordt twee uur na de installatie van het pakket pas actief. Volgens de onderzoekers is dat bewust gedaan om de kans op detectie te verkleinen. In bijna alle gevallen zal het actief worden als systeembeheer al weer met een andere klus bezig is. Via de backdoor wordt dan ook de verdere malware geladen, geïnstalleerd en geactiveerd.
Totale controle
De backdoor software schijnt ook niet te verwijderen zijn. Trustwave heeft nog niet kunnen vaststellen wat de malware precies doet. Hoewel het gebruikt kan worden voor gevreesde zaken als cryptominers en ransomware hoeft dat niet de hoogste prioriteit te hebben. De geïnfecteerde machine is namelijk geheel onder controle van de aanvallers en kan dus letterlijk voor alles gebruikt worden. Het bespioneren van het eigen bedrijfsnetwerk kan dus ook. Iedereen die het bewuste programma’s gebruikt of herkend wordt dan ook verzocht contact met de onderzoekers op te nemen.
Sinds 2016?
Bijzonder aan de zaak is ook dat Trustwave eerste vergelijkbare trojans kan herleiden tot 2016. Daarna is er een hele tijd geen activiteit waargenomen, tot mei van dit jaar. De vraag is natuurlijk wat er tussen 2016 en heden is gebeurd. De remote access trojans zoeken namelijk nog steeds contact met deels dezelfde IP adressen. De domeinnaam voor de C&C server dateert van september 2019. Het heeft dus maanden geduurd om de juiste doelwitten te vinden, dan wel te besmetten.
China – maar niet alleen daar
In het Trustwave rapport staan meerdere methoden beschreven voor detectie en verwijdering van deze bijzonder verdachte GoldenSpy software. Wat minder duidelijk wordt beschreven is dat de scope niet per se gelimiteerd is tot machines in de VRC. De kracht van dezes software is immers dat het toegang tot het complete netwerk verkrijgt. Daarom kan het ook workstations en servers van de besmette bedrijven buiten de VRC claimen voor welk doel dan ook. De impact van de installatie van schijnbaar legitieme bank- en belastingsoftware waarmee de malware wordt geactiveerd is daarmee grensoverschrijdend.
