ASUS Software-Update gehackt und zur Verbreitung von Malware benutzt
Erinnern Sie sich an den CCleaner-Hack? Es war einer der erfolgreichsten Cyberangriffe der Geschichte: Im September 2017 gelang es ihm, die Systeme von rund 2,3 Millionen Nutzern zu infizieren, indem er einfach die Hintertür der Software nutzte. Nun, vor einigen Wochen ist etwas Ähnliches passiert. Forscher haben nämlich einen weiteren, riesigen Kettenangriff aufgedeckt, der mehr als 1 Million ASUS-Computer kompromittiert hat.
ASUS-Software-Hacking: Was ist passiert?
Im vergangenen Jahr gelang es einer Gruppe von Hackern, das automatische Software-Update ASUS Live zu übernehmen, bevor der bekannte Hersteller es zwischen Juni und November 2018 veröffentlichte. Das Update wurde ausgenutzt, um eine Hintertür auf über einer Million Windows-Computern zu installieren.
Nach Angaben der Sicherheitsforscher von Kaspersky Lab, die den Angriff als erste entdeckten und ihm den Namen Operation ShadowHammer gaben, wurde ASUS bereits Ende Januar über den Vorfall informiert.
Nach der Analyse von mehr als 200 Beispielen infizierter Updates kamen die Forscher zu dem Schluss, dass es sich nicht um einen allgemeinen Angriff handelte, sondern um eine spezifische Liste von Benutzern, die anhand von MAC-Adressen identifiziert wurden, die in die Malware eingegeben worden waren. "Wir waren in der Lage, über 600 eindeutige MAC-Adressen aus mehr als 200 an dem Angriff beteiligten Proben zu extrahieren. Natürlich kann es auch andere mit anderen Adressen geben", so die Forscher.
Wie bei den CCleaner- und ShadowPad-Angriffen war die bösartige Datei mit dem offiziellen digitalen Markenzeichen von ASUS versehen, so dass es schien, als käme sie direkt vom Hersteller, um das Vertrauen der Benutzer und des Antivirensystems zu gewinnen, das nach den Plänen der Cyberkriminellen die Anomalie eine Zeit lang nicht erkennen würde.
Die Forscher konnten den Angriff nicht mit einer Gruppe in Verbindung bringen, die für ATP-ähnliche Angriffe bekannt ist, jedoch scheinen die Beweise Ähnlichkeiten mit dem ShadowPad-Fall aus dem Jahr 2017 zu bieten, dessen Täter in der BARIUM APT-Gruppe identifiziert wurden. "Kürzlich haben uns unsere Kollegen von ESET von einem anderen Blockchain-Angriff berichtet, an dem die BARIUM-Gruppe beteiligt war, und wir glauben, dass er auch etwas mit unserem Fall zu tun hat", so die Kaspersky-Forscher.
Den Daten zufolge sollen rund 57 Tausend Kaspersky-Nutzer das infizierte ASUS-Update installiert haben. "Wir sind nicht in der Lage, die Gesamtzahl der von der Attacke betroffenen Nutzer zu berechnen, zumindest nicht auf der Grundlage der uns vorliegenden Daten; es ist jedoch anzunehmen, dass sie bei bis zu einer Million liegen könnte", so die Forscher.
Der Beweis dafür, dass sie Recht haben, liegt in der Tatsache, dass Symantec die Malware auf mehr als 13.000 der Systeme entdeckt hat, die das gleichnamige Antivirenprogramm verwenden. Die meisten der betroffenen Kaspersky-Benutzer leben in Russland, Deutschland, Frankreich, Italien und den Vereinigten Staaten, aber die Malware hat sich weltweit verbreitet. Kaspersky hat ASUS und andere Antiviren-Hersteller sofort informiert, aber die Untersuchung dauert noch an.
Für diejenigen unter Ihnen, die einen ASUS haben und Kaspersky verwenden, hat der Hersteller ein Tool veröffentlicht, mit dem Benutzer herausfinden können, ob ihr Computer von ShadowHammer angegriffen wurde.
Swascan Marketing Team
.