Gehackte Asus-Software installiert Backdoor auf zahllosen PCs weltweit

Forscher des russischen Sicherheitsanbieters Kaspersky Lab haben einen zielgerichteten Hackerangriff auf den taiwanischen PC-Hersteller Asus aufgedeckt. Im Rahmen der sogenannten Operation ShadowHammer sollen unbekannte die Asus-Software Live Update genutzt haben, um eine Backdoor einzuschleusen. Die manipulierte Software wurde demnach zwischen Juni und November 2018 verbreitet.

Asus Live Update ist ein auf Asus-Computern vorinstalliertes Tool, das aber auch den von Asus separat angebotenen Mainboards beiliegt. Es ist für eine automatische Aktualisierung von Komponenten wie BIOS, UEFI, Treibern und anderen Asus-Anwendungen zuständig. Kaspersky will mehr als 57.000 Nutzer seiner Software identifiziert haben, auf deren Computern die gehackte Version von Asus Live Update installiert war. Weltweit könnten nach Einschätzung des Unternehmens mehr als eine Million Anwender betroffen sein.

Die noch nicht abgeschlossene Untersuchung ergab zudem, dass die Ziele mit „chirurgischer Präzision“ ausgesucht wurden, und zwar anhand ihrer MAC-Adressen. „Um dies zu erreichen, hatten die Angreifer eine Liste von MAC-Adressen in den trojanisierten Malware-Samples fest programmiert, anhand derer die tatsächlich beabsichtigten Ziele dieser massiven Operation identifiziert wurden. Wir konnten mehr als 600 eindeutige MAC-Adressen aus über 200 Mustern extrahieren, die bei diesem Angriff verwendet wurden. Natürlich könnte es auch andere Samples mit unterschiedlichen MAC-Adressen in ihrer Liste geben“, teilte Kaspersky mit.

Die eigentlich schädliche Software blieb so lange unerkannt, weil die Hintermänner ein legitimes Zertifikat von AsusTek Computer nutzten. Zudem wurden die manipulierten Updates über die offiziellen Asus-Update-Server verteilt. Asus selbst wurde von Kaspersky am 31. Januar über den Vorfall informiert.

Die meisten Betroffenen – mehr als 18 Prozent aller Opfer – fand Kaspersky in Russland. Auf dem zweiten Platz mit liegt Deutschland mit rund 16 Prozent. Dahinter folgen Frankreich, Italien, die USA, Spanien, Polen und Großbritannien. Jeweils rund zwei Prozent der Opfer stammen aus der Schweiz, Portugal, Kanada, Taiwan, Österreich, Japan und Brasilien. Kaspersky weist darauf hin, dass die Verteilung der Opfer auch stark von der Verbreitung von Kaspersky-Produkten abhängig ist, da dem Unternehmen derzeit nur eigene Zahlen vorliegen.

Nutzer von Asus-Hardware stellt Kaspersky zudem ein Tool zur Verfügung, mit dem sie prüfen können, ob sie zu den Zielen der Operation ShadowHammer gehören. Das Tool vergleicht zudem Zweck die MAC-Adresse eines Computers mit den in der Malware gefundenen Adressen. Eine Überprüfung ist auch online möglich. Kaspersky bittet Betroffene, sich per E-Mail an das Unternehmen zu wenden.

Update 16.55 Uhr

Inzwischen liegt auch eine Stellungnahme von Asus vor. „Eine geringe Anzahl von Geräten wurde durch einen komplexen Angriff auf unsere Live Update Server mit bösartigem Code infiziert, um eine sehr kleine und spezifische Benutzergruppe anzugreifen. Der Asus-Kundendienst hat sich bereits mit den betroffenen Nutzern in Verbindung gesetzt und bietet Unterstützung, um die Sicherheitsrisiken zu beseitigen.“ Zudem stehe nun die Version 3.6.8 des Live-Update-Tools zur Verfügung, die eine Sicherheitslücke schließe und zusätzliche Mechanismen zur Sicherheitsprüfung implementiere. „Zudem hat Asus eine verbesserte Ende-zu-Ende-Verschlüsselung implementiert und die Server-zu-Endkunden-Software-Architektur aktualisiert und gestärkt, um ähnliche Angriffe in Zukunft zu verhindern.“