Supply-Chain-Attacke auf das Update-Tool von Asus

25. März 2019, 16:25
  • security
  • kaspersky
image

Das --https://securelist.

Das Forschungsteam des Security-Software-Herstellers Kaspersky Labs berichtet von einem schwerwiegenden Security-Vorfall beim taiwanischen PC- und Komponentenhersteller Asus. Demnach konnte eine Gruppe von unbekannten Angreifern letztes Jahr die Asus Live Update Utility, mit der Updates an Anwender ausgeliefert werden, mit Malware modifizieren. Die so "trojanisierte" Software wurde mit gestohlenen Originalzertifikaten von Asus signiert und die Angreifer konnten sie auf Original-Update-Server von Asus schleusen. Für Anti-Malware-Tools war sie dadurch faktisch nicht entdeckbar.
Ungewöhnliches Vorgehen: Wer war das Ziel?
Der Angriff dauerte laut Kaspersky von Juni bis mindestens November 2018. Potentiell hätten weltweit über eine Million Asus-Anwender betroffen sein können. Laut der Schätzung von Kaspersky haben rund 57'000 davon eine infizierte Version des Update-Tools heruntergeladen.
Allerdings scheinen nur einige Hundert davon die tatsächlichen Angriffsziele gewesen zu sein. Die Malware im Update-Tool enthält nämlich eine Liste von Geräte-spezifischen MAC-Adressen. Nach einer erfolgreichen Infektion vergleicht die Malware die MAC-Adresse des Geräts mit dieser Liste. Nur wenn sie eine Übereinstimmung findet, wird weitere Malware nachgeladen. Die Kaspersky-Leute konnten aus ihren Malware-Samples etwas über 600 MAC-Adressen extrahieren, die also das eigentliche Angriffsziel gewesen sein dürften.
Die Vorgehensweise und die Raffinesse der eingesetzten Technologie zeigt laut Kaspersky, dass die Angreifer auf einem sehr hohen Level operierten.
Der Kaspersky-Report lässt aber einige wichtige Fragen unbeantwortet, zum Beispiel, wer die Besitzer dieser MAC-Adressen gewesen sein könnten. Oder auch, ob und wie die Angreifer MAC-Adressen, die ja nur Geräte identifizieren, mit spezifischen Besitzern verknüpfen konnten. Kaspersky will an einer Security-Konferenz im April weitere Informationen bekannt geben.
Für Asus-Anwender hat Kaspersky übrigens ein kleines Tool programmiert, ob sich die eigene MAC-Adresse unter den von den Angreifern anvisierten Adressen befand. Man kann es herunterladen. (hjm)

Loading

Mehr zum Thema

image

Facebook saugt Gesundheitsdaten mit Tracker ab

Eine US-NGO hat ein Tracking-Tool entdeckt, mit dem Facebook Einblick in sensible Daten erhält. Ein Drittel aller untersuchten Krankenhäuser ist betroffen.

publiziert am 21.6.2022
image

Operational Technology ist immer noch schlecht geschützt

Laut einem Bericht von Fortinet existieren weit verbreitete Lücken in der Sicherung von industriellen Steuersystemen und Cyberkriminelle nützen dies sehr häufig aus.

publiziert am 21.6.2022
image

Hackerangriff auf Schweizer Spitalverband

Zur Sicherheit wurden die Server heruntergefahren und die zuständigen Behörden informiert, schrieb der Verband H+ in einer Meldung.

aktualisiert am 21.6.2022
image

Vom Offline-Backup zum Krisentraining: Wie das Spital Schwyz seine IT sichert

Ransomware-Banden nehmen das Schweizer Gesundheitswesen ins Visier. Im Gespräch erklärt der IT-Leiter des Spitals, wie er mit der zunehmenden Bedrohung umgeht.

publiziert am 17.6.2022