ShadowHammer

Update-Server von Asus verteilte Malware

27.03.2019 von Hans-Christian Dirscherl
Ein Live-Update-Server von Asus wurde laut Kaspersky gehackt. Über eine Million Windows-Rechner mit Asus-Hauptplatinen wurden mit einer Malware verseucht. Update: Asus räumt Malware-Infektion ein. FAQ: Das sollten Betroffene jetzt tun!

Update 15:45 Uhr: Asus räumt Sicherheitslücke ein. Das sollten Betroffene jetzt tun!

Der taiwanische Hardware-Hersteller Asus hat eine Stellungnahme zu der Sicherheitslücke in seiner Update-Funktion veröffentlicht. Wir geben diese im vollen Wortlaut wieder. Anfang des Zitats:

„Advanced Persistent Threat (APT)-Angriffe sind Cyber-Attacken auf nationaler Ebene, die sich nicht gegen Verbraucher, sondern gegen bestimmte internationale Organisationen oder Einrichtungen richten.

ASUS Live Update ist ein firmeneigenes Tool, das auf ASUS Notebooks ausgeliefert wird, um sicherzustellen, dass Treiber und Firmware von ASUS immer auf dem neuesten Stand gehalten werden. Eine geringe Anzahl von Geräten wurde durch einen komplexen Angriff auf unsere Live Update Server mit bösartigem Code infiziert, um eine sehr kleine und spezifische Benutzergruppe anzugreifen. Der ASUS-Kundendienst hat sich bereits mit den betroffenen Nutzern in Verbindung gesetzt und bietet Unterstützung, um die Sicherheitsrisiken zu beseitigen.

In der neuesten Version (Version 3.6.8) des Live Update Tools hat ASUS eine Fehlerbehebung für diese Sicherheitslücke sowie mehrere zusätzliche Mechanismen zur Sicherheitsprüfung implementiert, um die vorsätzliche Manipulation in Form von Software-Updates oder anderen Mitteln zu verhindern. Zudem hat ASUS eine verbesserte Ende-zu-Ende-Verschlüsselung implementiert und die Server-zu-Endkunden-Software-Architektur aktualisiert und gestärkt, um ähnliche Angriffe in Zukunft zu verhindern.

Um potenziell betroffene Systeme zu überprüfen, haben wir ein Online-Diagnose-Tool erstellt, und möchten Nutzer dazu ermutigen es vorsorglich auszuführen. Das Tool finden Sie hier zum Download.

Nutzer, die weiterhin Bedenken haben, können sich an den ASUS-Kundendienst wenden." Zitat Ende

So weit die Stellungnahme von Asus, in der Asus sichtbar bemüht ist, den Vorfall zu verharmlosen. Zusätzlich hat Asus eine kurze FAQ veröffentlicht, in der unter anderem Betroffene erfahren, was sie jetzt tun sollen. Diese geben wir hier ebenfalls als Zitat wieder. Anfang des Zitats:

1. "Wie kann ich feststellen, ob mein Gerät von dem Malware-Angriff betroffen ist oder nicht?

Es wurde nur eine sehr geringe Anzahl von spezifischen Benutzergruppen gefunden, die von diesem Angriff betroffen waren, und als solche ist es äußerst unwahrscheinlich, dass Ihr Gerät angegriffen wurde. Wenn Sie dennoch Bedenken haben, können Sie gerne das Sicherheitsdiagnosetool von ASUS verwenden oder sich an den ASUS-Kundendienst wenden.

2. Was soll ich tun, wenn mein Gerät betroffen ist?

Führen Sie sofort ein Backup Ihrer Dateien durch und setzen Sie Ihr Betriebssystem auf die Werkseinstellungen zurück. Dadurch wird die Malware vollständig von Ihrem Computer entfernt. Um die Sicherheit Ihrer Daten zu gewährleisten, empfiehlt ASUS, dass Sie Ihre Passwörter regelmäßig aktualisieren.

3. Wie stelle ich sicher, dass ich die neueste Version des ASUS Live Updates habe?

Sie können herausfinden, ob Sie die neueste Version des ASUS Live Updates besitzen oder nicht, indem Sie den Anweisungen unter diesem Link folgen.
4. Sind andere ASUS-Geräte von dem Malware-Angriff betroffen?

Nein, es ist nur die Version von Live Update betroffen, die für Notebooks verwendet wird. Alle anderen Geräte sind davon nicht betroffen.

Zitat Ende, Ende des Updates, Beginn der ursprünglichen Meldung:

Ein Update-Server des taiwanischen Hardware-Herstellers Asus soll laut dem russischen Sicherheits-Unternehmen Kaspersky bereits im Sommer 2018 gehackt worden sein. Die Angreifer nutzen den gekaperten Asus-Server dafür um zwischen Juni und November 2018 über die Live-Software-Update-Funktion von Asus für BIOS, UEFI, Treiber und Anwendungen Malware auf fremde Windows-Notebooks einzuschmuggeln; macOS-Rechner und Linux-Rechner sind nicht betroffen. Erst im Januar 2019 entdeckten Sicherheitsexperten von Kaspersky den Angriff, den sie auf den Namen ShadowHammer tauften.

Die PC-Besitzer installierten ahnungslos die von dem Asus-LIve-Update-Server bereit gestellten und mit Schadsoftware infizierten Updates. Denn dieses infizierten Updates war mit einem vertrauenswürdigen Zertifikat von Asus signiert.

Laut Kaspersky sind 57.000 Rechner betroffen, auf denen die Sicherheits-Software von Kaspersky läuft. Die meisten infizierten Rechner sollen in Russland, Deutschland und Frankreich stehen. Das Sicherheits-Unternehmen Symantec meldet weitere 13.000 infizierte Rechner, auf denen wiederum Symantecs Sicherheits-Software installiert ist. Kaspersky schätzt die Gesamtzahl der infizierten PCs auf über eine Million.

Aus diesen Ländern stammen die infizierten Rechner.

Mit dieser Angriffsmethode sollten Kaspersky zufolge aber anscheinend nur einige wenige ausgesuchte Rechner angegriffen werden: Von 600 Windows-Rechnern ist die Rede. Denn deren MAC-Adresse war in dem Schadcode hinterlegt. Wurde das manipulierte Asus-Update auf einem dieser vorgemerkten Rechner installiert, dann lud es automatisch weitere Malware von einem Command-and-Control-Rechner der Angreifer nach.

Hier steht die Mac-Adresse.

Mit diesem Kaspersky-Online-Tool können Sie sofort prüfen, ob die Mac-Adresse Ihres PCs zu diesem kleinen Kreis der ausgesuchten Ziele gehört. Die Mac-Adresse ermitteln Sie auf einem Windows-PC am schnellsten mit dem Befehl ipconfig /all: Geben Sie links unten im Windows-Startmenü „cmd“ ein. Tippen Sie in der sich dann öffnenden Eingabeaufforderung „ipconfig /all“ ein. Scrollen Sie in der Ergebnisanzeige nach unten bis zu dem Eintrag für WLAN oder LAN, bei dem nach Medienstatus nicht(!) „Medium getrennt“ steht, sondern stattdessen das DNS-Suffix angezeigt wird. Dessen „Physische Adresse“ ist Ihre Mac-Adresse. Diese Zahlen-Buchstaben-Kombination kopieren Sie in das Kaspersky-Tool.

Kaspersky betont, dass seine Virenscanner infizierte Updates erkennen und blockieren. Bis jetzt scheint Asus betroffene Kunden nicht über das Risiko informiert zu haben. Laut The Verge wolle Asus demnächst eine Stellungnahme veröffentlichen.

Bevor Kaspersky mit dieser Entdeckung an die Öffentlichkeit ging, hatte bereits die IT-Nachrichten-Plattform Motherboard darüber berichtet. Motherboard zufolge dementierte Asus gegenüber Kaspersky, dass sein Update-Server in der beschriebenen Weise angegriffen wurde. Symantec bestätigt jedoch den Kaspersky-Bericht. Gegenüber Motherboard äußerte sich Asus nicht.

Kaspersky will Details zu dem Angriff im April 2019 auf einem Sicherheitskongress verraten. Eine ausführliche Beschreibung des Angriffs findet man aber bereits jetzt auf dieser Kaspersky-Seite.

Wer hinter dem Angriff steckt, ist derzeit unbekannt. Costin Raiu von Kaspersky sieht aber Parallelen zu dem ShadowPad-Angriff aus dem Jahr 2017. Microsoft hatte damals als Urheber der Attacke eine Hackergruppe namens "Barium" identifiziert, die mit der Volksrepublik China in Verbindung gebracht wird.

Tipp: Die wichtigsten CMD-Befehle für Windows zur Netzwerk-Analyse