Supply-Chain-Attacke auf das Update-Tool von Asus

25. März 2019, 16:25
  • security
  • kaspersky
image

Das --https://securelist.

Das Forschungsteam des Security-Software-Herstellers Kaspersky Labs berichtet von einem schwerwiegenden Security-Vorfall beim taiwanischen PC- und Komponentenhersteller Asus. Demnach konnte eine Gruppe von unbekannten Angreifern letztes Jahr die Asus Live Update Utility, mit der Updates an Anwender ausgeliefert werden, mit Malware modifizieren. Die so "trojanisierte" Software wurde mit gestohlenen Originalzertifikaten von Asus signiert und die Angreifer konnten sie auf Original-Update-Server von Asus schleusen. Für Anti-Malware-Tools war sie dadurch faktisch nicht entdeckbar.
Ungewöhnliches Vorgehen: Wer war das Ziel?
Der Angriff dauerte laut Kaspersky von Juni bis mindestens November 2018. Potentiell hätten weltweit über eine Million Asus-Anwender betroffen sein können. Laut der Schätzung von Kaspersky haben rund 57'000 davon eine infizierte Version des Update-Tools heruntergeladen.
Allerdings scheinen nur einige Hundert davon die tatsächlichen Angriffsziele gewesen zu sein. Die Malware im Update-Tool enthält nämlich eine Liste von Geräte-spezifischen MAC-Adressen. Nach einer erfolgreichen Infektion vergleicht die Malware die MAC-Adresse des Geräts mit dieser Liste. Nur wenn sie eine Übereinstimmung findet, wird weitere Malware nachgeladen. Die Kaspersky-Leute konnten aus ihren Malware-Samples etwas über 600 MAC-Adressen extrahieren, die also das eigentliche Angriffsziel gewesen sein dürften.
Die Vorgehensweise und die Raffinesse der eingesetzten Technologie zeigt laut Kaspersky, dass die Angreifer auf einem sehr hohen Level operierten.
Der Kaspersky-Report lässt aber einige wichtige Fragen unbeantwortet, zum Beispiel, wer die Besitzer dieser MAC-Adressen gewesen sein könnten. Oder auch, ob und wie die Angreifer MAC-Adressen, die ja nur Geräte identifizieren, mit spezifischen Besitzern verknüpfen konnten. Kaspersky will an einer Security-Konferenz im April weitere Informationen bekannt geben.
Für Asus-Anwender hat Kaspersky übrigens ein kleines Tool programmiert, ob sich die eigene MAC-Adresse unter den von den Angreifern anvisierten Adressen befand. Man kann es herunterladen. (hjm)

Loading

Mehr zum Thema

image

Kritische Lücken: Twitter-Alternative Hive Social stellt Server ab

Security-Forschende konnten auf alle Nutzerdaten der Social-Media-App zugreifen. Das Unternehmen bestätigt die Schwachstelle und reagiert verspätet, aber rigoros.

publiziert am 2.12.2022
image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022