Showboat existiert nach den vorliegenden Hinweisen mindestens seit Mitte 2022. Als die Forscher es in diesem Jahr untersuchten, verzeichnete es auf VirusTotal keine einzige Erkennung – so unauffällig wie ein hochspezialisiertes, maßgeschneidertes Spionagewerkzeug, wie es selbst die fähigsten Akteure einsetzen.
Die wohl wichtigste Fähigkeit der Schadsoftware ist es, Geräte in einem lokalen Netzwerk (LAN) aufzuspüren und zu infizieren, die selbst nicht mit dem öffentlichen Internet verbunden sind. „Wenn Sie das in Ihrem Netzwerk finden, steckt dort wahrscheinlich noch eine ganze Menge anderer übler Dinge, und Ihnen steht ein sehr langes Wochenende bevor", sagt Danny Adamitis, leitender Sicherheitsingenieur bei Black Lotus Labs.
Technisch hält Showboat mit Chinas Spitzen-Schadsoftware für den Telekommunikationssektor nicht mit. BPFdoor etwa beherrscht das „Living off the Land" und verbirgt seinen Command-and-Control-Verkehr nahezu unmerklich in HTTPS-Anfragen und ICMP-Pings. Showboat sei „nicht die beste Backdoor, die ich je gesehen habe", urteilt Adamitis; es wirke eher wie eine neuere Variante von ShadowPad, die vor allem durch einige nette Fähigkeiten auffalle.
Doch gerade die Schlichtheit könnte Absicht sein. „Man muss seine Backdoors nicht zwingend ausschließlich in Assembler schreiben und ein merkwürdiges Paket-Matching über ICMP betreiben", so Adamitis. Die Angreifer hätten offenbar mit etwas Durchschnittlicherem weiterhin durchaus Erfolg.
Wo Showboat nicht das passende Werkzeug ist, greifen die Akteure auf einen breit geteilten Schadsoftware-Pool zurück. „Red Lamassu (auch bekannt als Calypso) hat in der Vergangenheit PlugX verwendet, eine Schadsoftware-Familie, die unter mehreren China-basierten Akteuren weit verbreitet und wiederverwendet wird", erklärt PwC-Analyst Daniel van Apeldoorn. Heute könne die Gruppe ihr Werkzeugset anpassen: eine Linux-Backdoor in Linux-lastigen Umgebungen wie der oft auf Unix basierenden Telekommunikationsinfrastruktur, eine Windows-Backdoor in von Windows dominierten Unternehmensumgebungen.
Black-Lotus-Labs-Forscher Ryan English beschreibt das Vorgehen so: China erkläre bestimmte Weltregionen gleichsam zum Labor. Man teste die Schadsoftware zunächst gegen vollständig aktualisierte virtuelle Systeme und bringe sie dann in einem kleinen Markttest in die reale Welt – funktioniert es gegen jene Bank in Afrika, jenes Telekommunikationsunternehmen in Vietnam? Wenn ja, traue man sich an bedeutendere Ziele heran.
Die Daten stützen diese Lesart zumindest teilweise. Black Lotus Labs verfolgte mehrere offenbar getrennte chinesische Cluster, die Showboat weiterreichten, ohne sich damit auf lange, hochwertige Kampagnen festzulegen. Ein Cluster verband sich eher willkürlich zu wechselnden Zeiten mit IP-Adressen in den USA und in der Donbas-Region. Ein anderes richtete es gegen Organisationen in Ländern mit im Schnitt weniger ausgereifter Cybersicherheit: einen Internetdienstanbieter in Afghanistan sowie weitere ungenannte Opfer in Aserbaidschan und im Nahen Osten. Die von PwC verfolgte Calypso-Aktivität zielte auf einen Telekommunikationsanbieter in Afghanistan.
English vermutet, dass Showboat in diesen kleineren Märkten erfolgreich war: „Jemand hat gesagt: Das Perfekte ist der Feind des Hinreichenden." Man habe es einfach laufen lassen und sei dabei vermutlich sparsam vorgegangen.
