Operation ShadowHammer: Gehackte ASUS-Software installiert Backdoor auf PCs

Viele Computerhersteller bieten auf ihren Rechnern eigene Updatesoftware an. Diese bietet den Nutzern die Möglichkeit, Treiber-Updates schnell aus einem zentralen Hub zu beziehen. Der russische Sicherheitsanbieter Kaspersky Lab berichtete von einem Angriff auf die Softwarelieferkette des taiwanischen Herstellers ASUSTeK Computer Inc. (ASUS). Im Rahmen der sogenannten „Operation ShadowHammer“ nutzen Kriminelle das ASUS Software Live Update, um unter den Nutzern eine Malware zu verbreiten, die eine Backdoor auf den betroffenen Rechnern installiert und so einen unbefugten Zugang ermöglicht.

ASUS Live Update ist ein auf den ASUS-Geräten vorinstalliertes Tool, mit dem bestimmte Komponenten wie BIOS, UEFI, Treiber und Anwendungen automatisch aktualisiert werden. Über eben dieses Tool haben die Angreifer eine schädliche Datei auf die Kundencomputer übertragen. Es handelte sich dabei um eine drei Jahre alte Updatedatei, die mit einem Trojaner infiziert wurde. Die schädliche Software blieb lange unerkannt, da die Hacker ein legitimes Zertifikat nutzten und die manipulierten Updates über den offiziellen ASUS Updateserver verteilt wurden.

Laut Kaspersky Lab deutet die Verwendung einer alten Updatedatei mit einem aktuellen und legitimen Zertifikat darauf hin, dass die Angreifer Zugriff auf den Server hatten, auf dem ASUS seine Dateien signiert. Ein Zugriff auf das gesamte ASUS-Netzwerk werde allerdings ausgeschlossen, da die Hacker in einem solchen Fall nicht jedes Mal dieselbe Updatedatei verwendet hätten.
Des Weiteren ergeben die Untersuchungen, dass der Angriff auf bestimmte Personengruppen abzielte, die anhand ihrer MAC-Adressen ausgesucht wurden. Die Hacker hatten eine Liste dieser MAC-Adressen in den Trojaner einprogrammiert, anhand derer die Zielpersonen der Operation eindeutig identifiziert und gehackt werden konnten.

Kaspersky Lab hat rund 57.000 Nutzer seiner Software identifiziert, die die Backdoor-Version von ASUS Live Updates heruntergeladen und installiert haben. Der Sicherheitsanbieter geht allerdings davon aus, dass weltweit möglicherweise über eine Million Anwender betroffen sind. Der Großteil der identifizierten Betroffenen, etwa 18 Prozent, ist laut Statistik in Russland ansässig, dicht gefolgt von Deutschland (16 Prozent) und Frankreich (13 Prozent). Allerdings gab Kaspersky Lab an, dass die Verteilung der Betroffenen stark von der Verbreitung von Kaspersky-Produkten abhängig ist, da dem Unternehmen bisher nur eigene Zahlen vorliegen.

Die Untersuchungen zur Operation ShadowHammer laufen aktuell noch – die vollständigen Ergebnisse der Hackerattacke sollen im April auf dem Kaspersky Security Analyst Summit in Singapur veröffentlicht werden. Bis dahin kann über das wahre Ausmaß des Angriffs und das eigentliche Ziel der Hacker nur spekuliert werden.