Daxin Malware

Daxin wird als die fortschrittlichste Malware beschrieben, die von China unterstützten Bedrohungsakteuren zugeschrieben wird. Details über die Bedrohung wurden in einem Bericht von Sicherheitsforschern veröffentlicht. Ihren Erkenntnissen zufolge konnte die Bedrohung fast ein Jahrzehnt lang unter dem Radar bleiben – die frühesten identifizierten Daxin-Proben stammen aus dem Jahr 2013, während die jüngsten Angriffsoperationen mit der Bedrohung im November 2021 stattfanden.

Im Kern ist Daxin ein Hintertürimplantat, das den Angreifern die Möglichkeit gibt, verschiedene Eingriffe auf den infizierten Geräten durchzuführen. Das offensichtliche Ziel der Angreifer ist jedoch das Sammeln von Daten. Die ausgewählten Ziele werden sorgfältig aus einer Reihe verschiedener Branchen und Sektoren ausgewählt, darunter Telekommunikation, Transport und Fertigung. Auch Regierungsorganisationen wurden mit Daxin ins Visier genommen. Ein gemeinsames Merkmal der ausgewählten Unternehmen ist, dass sie über robuste Netzwerk- und Cybersicherheitsschutzmaßnahmen verfügen.

Daxin wurde entwickelt, um als Windows-Kernel-Treiber zu fungieren. Es zeichnet sich durch die Verwendung eines einzigen externen Befehls aus, um innerhalb des Netzwerks von einem verletzten System zu einem anderen zu springen. Um unbemerkt zu bleiben, öffnet Daxin keine neuen Netzwerkdienste und versucht keine Kommunikation, die verdächtig erscheinen könnte. Stattdessen entführt es legitime TCP/IP-Dienste, während es auf bestimmte Verkehrsmuster lauscht, die es als gültigen Befehl erkennen kann. Es sollte darauf hingewiesen werden, dass fast alle erweiterten Funktionen der Bedrohung bereits in ihren frühesten Versionen vorhanden waren, was das Können und die Weitsicht ihrer Schöpfer zeigt.