Menü
Update
Security

ShadowHammer: ASUS verteilte offenbar Schadcode an über 1 Million Nutzer

Laut Kaspersky Lab lieferte der ASUS-Update-Server 2018 Malware an ASUS-Notebooks und -Desktops aus. Nutzer sollten handeln, Grund zur Panik gibt es aber nicht.

vorlesen Drucken Kommentare lesen 70 Beiträge
Operation ShadowHammer: ASUS verteilte unwissentlich Schadcode an hunderttausende Nutzer

(Bild: Markus Spiske, gemeinfrei)

Der Antiviren-Softwarehersteller Kaspersky Lab will auf den Rechnern von insgesamt 57.000 Kaspersky-Kunden Schadcode entdeckt haben, den der taiwanische Hardware-Hersteller ASUS über einen seiner eigenen Server verteilt haben soll. Über die "ASUS Live Update Utility" soll der Schädling unwissentlich an die Kunden gelangt sein.

Kaspersky Lab wurde nach Angaben im unternehmenseigenen Blog am 19. Januar 2019 auf den Schadcode aufmerksam, der zwischen Juni und November 2018 ausgeliefert worden sein soll. Am 31. Januar habe das Unternehmen ASUS über die offensichtliche Kompromittierung seines Servers und die Malware-Auslieferung benachrichtigt.

Das Live Update Utility dient für gewöhnlich der regelmäßigen Aktualisierung von ASUS-Notebooks und -Desktop-PCs. Im genannten Zeitraum empfing es neben legitimen Software-, Treiber- und BIOS/UEFI-Updates aber offenbar auch Malware vom Update-Server. Die trug den unauffälligen Namen "setup.exe" und gab sich laut Kaspersky als Update für das Update-Utility selbst aus.

In Wirklichkeit habe es sich um eine bereits drei Jahre alte "echte" ASUS-Update-Datei gehandelt, in die Angreifer schädlichen Code injizierten. Gehostet worden seien die schädlichen Updates auf den offiziellen Updateservern liveupdate01s.asus[.]com und liveupdate01.asus[.]com.

ASUS hat seither weder seine Kunden über die Vorgänge benachrichtigt noch ein offizielles Statement abgegeben. In einer E-Mail an die IT-News-Webseite The Verge beteuerte ASUS aber, dies am Nachmittag des heutigen Tages nachholen zu wollen.

Kaspersky Lab bezeichnet den Angriff auf ASUS im Unternehmensblog als "Operation ShadowHammer". Angesichts von allein 57.000 betroffenen Kaspersky-Nutzern schätzt der Anti-Viren-Softwarehersteller, dass der Schadcode möglicherweise an über eine Million Windows-Systeme ausgeliefert wurde.

Die Grafik berücksichtigt zwar lediglich die 57.000 betroffenen Rechner mit Kasperskys Software, lässt aber dennoch Rückschlüsse auf die geografische Gesamtverteilung zu.

(Bild: Kaspersky Lab)

Der Sicherheitssoftware-Hersteller Symantec ließ auf Anfrage der IT-News-Webseite Motherboard verlauten, dass der von Kaspersky beschriebene Schadcode im vergangenen Jahr auch auf 13.000 Rechnern gefunden wurden, auf denen Symantec-Sicherheitslösungen liefen. Ein Symantec-Sprecher sagte gegenüber Motherboard außerdem, das Unternehmen hätte "gesehen", dass die als Update getarnte Malware von den ASUS-Servern ausgeliefert worden sei.

Eine der Gründe, weshalb ASUS den Schadcode nicht selbst bemerkte, dürfte sein, dass dieser mit einem validen digitalen Zertifikat von ASUS signiert war. Wie ein Kaspersky-Lab-Sprecher erläuterte, waren die Kriminellen offenbar im Besitz zweier ASUS-Zertifikate. Nach Ablauf des ersten Mitte 2018 nutzten sie das zweite. Letzteres soll der Hardware-Hersteller laut Kaspersky Lab sogar noch etwa einen Monat lang selbst zum Signieren verwendet haben, nachdem er bereits über die frühere Schadcode-Auslieferung im Bilde war.

Kaspersky Lab wies in diesem Zusammenhang auch darauf hin, dass die Verwendung einer alten ASUS-Update-Datei in Kombination mit aktuellen digitalen Zertifikaten vermuten lässt, dass die Angreifer nicht etwa Zugang zur kompletten ASUS-Infrastruktur, sondern "nur" (mindestens) zu Signatur- und Update-Servern gehabt haben.

Grund zur Panik besteht indes nicht. Die Analysten von Kaspersky Lab haben nach eigenen Angaben herausgefunden, dass es sich um den vordergründig breit gestreuten Angriff eigentlich um eine gezielte Attacke auf wenige Systeme handelt. Die MAC-Adressen von deren Netzwerkkarten wussten die Angreifer offenbar schon im Voraus: Die Analysten fanden rund 600 solcher MAC-Adressen hardcodiert als MD5-Hashes in etwa 200 untersuchten Schadcode-Exemplaren. Anhand dieser vergleichsweise geringen Samplezahl lässt sich die Vollständigkeit der Angriffsziele allerdings nicht zweifelsfrei bestimmen.

Offenbar diente das gefälschte ASUS-Update in erster Linie dem Nachladen einer zweiten Schadsoftware, die es von einem Command-and-Control (C2)-Server der Kriminellen abrief. Dieser wurde im Mai 2018 registriert, ging jedoch bereits im November 2018 wieder offline. Somit war es den Analysten von Kaspersky nicht mehr möglich, diesen zweiten Schadcode zu untersuchen oder die Opfer zu identifizieren, deren Rechner den C2-Server kontaktierten und anschließend die eigentliche Payload ausführten.

Kaspersky Lab sieht Ähnlichkeiten zu den Vorgängen bei CCleaner 2017. Auch hier handelte es sich um einen so genannten Supply-Chain-Angriff, bei dem der Update-Server des Säuberungs- und Optimierungstools CCleaner eine zweistufige Backdoor an etwa 2,27 MIllionen Nutzer auslieferte. Und auch hier stellte sich später heraus, dass das eigentliche Angriffsziel lediglich rund 20 ausgewählte Technik- und Telekommunikationsunternehmen in Japan, Taiwan, Großbritannien, Deutschland und den USA waren.

Kaspersky zieht außerdem Parallelen zur Netzwerk-Administrations-Software ShadowPad, in deren Code sich (ebenfalls 2017) über zwei Wochen lang eine Backdoor befand. Auch hier kamen legitime Update-Mechanismen für die Schadcode-Distribution zum Einsatz. Hinsichtlich Komplexität und "Heimlichkeit" (Stealthiness) sei der Angriff via ASUS-Updates den früheren Attacken allerdings überlegen.

Gegenüber Motherboard äußerten Forscher von Kaspersky Lab den Verdacht, dass hinter den ShadowHammer-Angreifern dieselbe Gruppe von Angreifern stecke, die auch schon für die Angriffe auf CCleaner und ShdowPad verantwortlich waren. Sie wiesen daraufhin, dass ASUS eines der Hauptangriffsziele der CCleaner-Kampagne dargestellt habe. Möglicherweise hätten sich die Angreifer auf diesem Wege Zugriff zu den ASUS-Servern verschafft.

Weitere Details zu den aktuell noch immer stattfindenden Untersuchungen will Kaspersky in einem Whitepaper im Rahmen des Kaspersky Security Analyst Summit (SAS) veröfffentlichen, der vom 8. bis zum 11. April in Singapur stattfindet.

Angesichts der Tatsache, dass es sich hier – wenn auch erst auf den zweiten Blick – um einen sehr zielgerichteten Angriff handelt und überdies der C2-Server mit der eigentlichen schädlichen Payload seit vergangenem Jahr offline ist, besteht wohl keine akute Gefahr. Kaspersky empfiehlt aber dennoch dringend, das Live Update Utility zu aktualisieren.

Der AV-Hersteller hat außerdem ein Tool veröffentlicht, mit dem Nutzer von ASUS-Rechnern diese auf Vorhandensein des Schadcodes testen können. Das Tool ist in Kasperskys Blogeintrag verlinkt. Sicherheitsverantwortliche in Unternehmen finden dort auch eine Liste so genannter Indicators of Compromise (IoCs) zu den manipulierten Update-Files.

Weiterhin bietet Kaspersky auf einer separaten Webseite die Möglichkeit an, die eigene MAC-Adresse einzugeben und zu überprüfen. Betroffene sollen den AV-Hersteller über eine eigens dafür eingerichtete E-Mail-Adresse kontaktieren, um ihn damit bei weiterführenden Schadcode-Analysen zu unterstützen.

[UPDATE, 26.03.2019, 17:00]

Asus hat inzwischen reagiert und laut Pressemitteilung eine gefixte Version seines Live Update Utilitys veröffentlicht. Ebenfalls bietet der Hersteller ein Tool an, mit dem Nutzer prüfen können, ob sie betroffen sind. (ovw)