ShadowHammer — ASUS Live Update soll Schadsoftware ausgeliefert haben

Nach Anga­ben von Kas­pers­ky Labs wur­de die Update-Infra­struk­tur von ASUS Live Update — ein Tool zur Aktua­li­sie­rung von BIOS, Trei­bern und Anwen­dun­gen — von Juni 2018 bis Novem­ber 2018 zumin­dest teil­wei­se von Kri­mi­nel­len kon­trol­liert, die dadurch Schad­soft­ware ver­brei­ten konn­ten. Die Anga­ben wur­den vom US-Unter­neh­men Syman­tec bestä­tigt und CERT.at hat bereits eine War­nung her­aus­ge­ge­ben. Kas­pers­ky zufol­ge sol­len zwar nur bestimm­te Rech­ner über die MAC-Adres­se Ziel die­ser “ShadowHam­mer” genann­ten Atta­cke gewe­sen sein, aber die Soft­ware von drei ande­ren bis­lang unge­nann­ten Unter­neh­men soll in ähn­li­cher Wei­se betrof­fen sein.

The tro­ja­ni­zed uti­li­ty was signed with a legi­ti­ma­te cer­ti­fi­ca­te and was hosted on the offi­ci­al ASUS ser­ver dedi­ca­ted to updates, and that allo­wed it to stay unde­tec­ted for a long time. The cri­mi­nals even made sure the file size of the mali­cious uti­li­ty stay­ed the same as that of the ori­gi­nal one. (Kas­pers­ky)

Die Atta­cke wur­de im Janu­ar von Kas­pers­ky ent­deckt und am 31. Janu­ar an Asus gemel­det. Bei Kas­pers­ky wird geschätzt, dass welt­weit bis zu 500 000 PCs betrof­fen sein könn­ten. Anhand eige­ner Soft­ware konn­te man 57 000 kom­pro­mit­tier­te Sys­te­me iden­ti­fi­zie­ren und schätzt das Pro­blem grö­ßer ein als das mit CClea­ner im Jahr 2007. Von Syman­tec wur­den zusätz­li­che 13 000 PCs iden­ti­fi­ziert, die betrof­fen sind.

ASUS Live Update erkennt neu auf der ASUS-Web­site ver­öf­fent­lich­te Pro­gramm­ver­sio­nen und aktua­li­siert dann auto­ma­tisch BIOS, Trei­ber und Anwen­dun­gen. Dadurch, dass die Ver­si­on auf den Ser­vern von Asus kom­pro­mit­tiert war, waren die Updates mit legi­ti­men ASUS-Zer­ti­fi­ka­ten signiert, wes­halb Nut­zer kei­ne Sicher­heits­war­nun­gen bei der Instal­la­ti­on ange­zeigt beka­men. Genaue­re Infor­ma­tio­nen zum Vor­ge­hen will Kas­pers­ky auf der im nächs­ten Monat statt­fin­den­den Secu­ri­ty Ana­lyst Sum­mit in Sin­g­a­po­re bekannt­ge­ben. Tech­ni­sche Details zu der Atta­cke hat man aber bereits auf einer Web­sei­te zusam­men­ge­fasst.

The goal of the attack was to sur­gi­cal­ly tar­get an unknown pool of users, which were iden­ti­fied by their net­work adap­ters’ MAC addres­ses. To achie­ve this, the atta­ckers had hard­coded a list of MAC addres­ses in the tro­ja­ni­zed sam­ples and this list was used to iden­ti­fy the actu­al inten­ded tar­gets of this mas­si­ve ope­ra­ti­on. We were able to extract more than 600 uni­que MAC addres­ses from over 200 sam­ples used in this attack. Of cour­se, the­re might be other sam­ples out the­re with dif­fe­rent MAC addres­ses in their list. (Kas­pers­ky)

Gemäß CERT.at ist zur Zeit kein Weg bekannt, die Schad­soft­ware sicher und voll­stän­dig zu ent­fer­nen. Dort emp­fiehlt man eine voll­stän­di­ge Neu­in­stal­la­ti­on des Betriebs­sys­tems, schränkt aber direkt ein, dass dies selbst die­se Maß­nah­me kei­ne abso­lu­te Sicher­heit garan­tiert, da neben Trei­bern eben auch BIOS/UEFI aktua­li­siert wur­den. Bei Kas­pers­ky exis­tiert ein Tool, dass die eige­ne MAC-Adres­se mit den bis­lang iden­ti­fi­zier­ten Zie­len abgleicht.

While inves­ti­ga­ting this attack, we found out that the same tech­ni­ques were used against soft­ware from three other ven­dors. Of cour­se, we have noti­fied ASUS and other com­pa­nies about the attack.

Neben Asus sol­len aber drei wei­te­re Unter­neh­men, die ähn­li­che Soft­ware ein­set­zen, betrof­fen sein. Die­se Fir­men wur­den infor­miert, Namen sind bis­lang aber nicht ver­öf­fent­licht wor­den.

Links zum The­ma: