Kaspersky deckt auf

Heimtückischer Hackerangriff: Asus verteilt per Update unbewusst Malware

Geschätzte Lesezeit: ca. 2 Minuten

Foto von Julius Zunker

von Julius Zunker -

Oft sind User an schadhafter Software auf ihren Computern zumindest mitschuldig. Im Falle von Asus, einem der größten weltweiten Computer-Herstellern, hat sich nun allerdings Schadcode über firmeneigene Updates auf Millionen PCs verbreitet. Entdeckt wurde dies von Sicherheitssoftware-Entwickler Kaspersky.

Auffällig wurde dies zunächst auf 57.000 Rechnern, deren Besitzer Kunden von Kaspersky sind. Verteilt wurde die enttarnte Schadsoftware über den "Live Update"-Server von Asus. Erstmals entdeckt hatte Kaspersky den Schädling bereits am 19. Januar und berichtete darüber im eigenen Firmen-Blog. Am 31. Januar hatte sich für Kaspersky herauskristallisiert, von woher der schadhafte Code stammte, man benachrichtigte Asus.

Schädliche Backdoor über Asus-Server eingerichtet

Verteilt hatte sich der Code zwischen Juni und November des vergangenen Jahres. Auf Grund der Zahl der betroffenen Kaspersky-Kunden geht das russische Unternehmen von rund einer halben bis einer Millionen Geschädigten aus. Tatsächlichen Grund für Besorgnis gibt es indes für die meisten nicht. Im Zuge ihrer Ermittlungen fanden die Analysten bei Kaspersky eine Liste mit 600 MAC-Adressen, die den Cyber-Kriminellen schon im Vorfeld der "Operation ShadowHammer" bekannt waren.

Asus scheint weitestgehend unschuldig zu sein.

Asus scheint hierbei weitestgehend unschuldig zu sein. Die Hardware-Schmiede aus Taiwan habe den Backdoor-Code gar nicht als schädlich erkennen können, da er mit gültigen Asus-Zertifikaten versehen war. Die Kriminellen verfügten offenbar über zwei solcher Zertifikate. Nachdem das eine schon recht früh während der laufenden Aktion abgelaufen war, stiegen sie auf das zweite um und setzten ungehindert ihr Treiben fort.

Allerdings nutzte Asus letzteres Zertifikat noch zwei Monate lang selber nachdem das Unternehmen von Kaspersky über das kriminelle Treiben unterrichtet worden war. Die Nutzung der Zertifikate in Verbindung mit einer alten Asus-Datei legt laut Kaspersky nahe, dass die Cyber-Gangster keinen Zugang zu den kompletten physikalischen Servern der Taiwaner hatten, sondern "nur" zu den Update- und Signatur-Servern.

Mehrstufige Cyberattacke mit unbekanntem Ziel

Was das tatsächliche Ziel der Kriminellen war, bleibt bisher im Dunkeln. Kaspersky geht davon aus, dass mit der installierten Backdoor über die Schadsoftware weiterer Schadcode auf gezielt ausgesuchte Rechner verbracht wurde. Die dafür verwendeten Server wurden im Mai des letzten Jahres, also vor dem tatsächlichen Anlaufen von "Operation ShadowHammer", registriert.

Vom Netz wurden sie schon im letzten November genommen. Was immer darüber installiert werden sollte, es schien erfolgreich durchgeführt worden zu sein. Dem zuständigen Team von Kaspersky aber war es ohne die Informationen von genau diesen Servern nicht möglich zu sagen, bei wem tatsächlich genau was installiert worden war.

Kasperskys Ermittlungen dauern an

Weitere Details über "Operation ShadowHammer" werden wohl erst Anfang April auf dem "Kaspersky Security Analyst Summit" bekannt werden. Da die Ermittlungen andauern wird hier zwischen dem 8. und 11. April ein Abschlussbericht in Form eines Whitepapers erwartet.

Handlungsbedarf bei den meisten Geschädigten sieht Kaspersky nicht, da die Server mit der gefährlichen Payload bereits offline sind. Allerdings wird zu einer Erneuerung der Live-Update-Software geraten.

Quelle: Motherboard

Hier erfährst du mehr über: Sicherheit

Sag uns deine Meinung!