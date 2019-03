Hans-Christian Dirscherl

Ein Live-Update-Server von Asus wurde laut Kaspersky gehackt. Über eine Million Windows-Rechner mit Asus-Hauptplatinen wurden mit einer Malware verseucht.

Vergrößern ShadowHammer: Update-Server von Asus verteilt Malware © twitter.com/craiu/status/1110168487505334272

Ein Update-Server des taiwanischen Hardware-Herstellers Asus soll laut dem russischen Sicherheits-Unternehmen Kaspersky bereits im Sommer 2018 gehackt worden sein. Die Angreifer nutzen den gekaperten Asus-Server dafür um zwischen Juni und November 2018 über die Live-Software-Update-Funktion von Asus für BIOS, UEFI, Treiber und Anwendungen Malware auf fremde Windows-Rechner einzuschmuggeln; macOS-Rechner und Linux-Rechner sind nicht betroffen. Erst im Januar 2019 entdeckten Sicherheitsexperten von Kaspersky den Angriff, den sie auf den Namen ShadowHammer tauften.

Die PC-Besitzer installierten ahnungslos die von dem Asus-LIve-Update-Server bereit gestellten und mit Schadsoftware infizierten Updates. Denn dieses infizierten Updates war mit einem vertrauenswürdigen Zertifikat von Asus signiert.

Laut Kaspersky sind 57.000 Rechner betroffen, auf denen die Sicherheits-Software von Kaspersky läuft. Die meisten infizierten Rechner sollen in Russland, Deutschland und Frankreich stehen. Das Sicherheits-Unternehmen Symantec meldet weitere 13.000 infizierte Rechner, auf denen wiederum Symantecs Sicherheits-Software installiert ist. Kaspersky schätzt die Gesamtzahl der infizierten PCs auf über eine Million.

Vergrößern Aus diesen Ländern stammen die infizierten Rechner.

Mit dieser Angriffsmethode sollten Kaspersky zufolge aber anscheinend nur einige wenige ausgesuchte Rechner angegriffen werden: Von 600 Windows-Rechnern ist die Rede. Denn deren MAC-Adresse war in dem Schadcode hinterlegt. Wurde das manipulierte Asus-Update auf einem dieser vorgemerkten Rechner installiert, dann lud es automatisch weitere Malware von einem Command-and-Control-Rechner der Angreifer nach.

Vergrößern Hier steht die Mac-Adresse.

Mit diesem Kaspersky-Online-Tool können Sie sofort prüfen, ob die Mac-Adresse Ihres PCs zu diesem kleinen Kreis der ausgesuchten Ziele gehört. Die Mac-Adresse ermitteln Sie auf einem Windows-PC am schnellsten mit dem Befehl ipconfig /all: Geben Sie links unten im Windows-Startmenü „cmd“ ein. Tippen Sie in der sich dann öffnenden Eingabeaufforderung „ipconfig /all“ ein. Scrollen Sie in der Ergebnisanzeige nach unten bis zu dem Eintrag für WLAN oder LAN, bei dem nach Medienstatus nicht(!) „Medium getrennt“ steht, sondern stattdessen das DNS-Suffix angezeigt wird. Dessen „Physische Adresse“ ist Ihre Mac-Adresse. Diese Zahlen-Buchstaben-Kombination kopieren Sie in das Kaspersky-Tool.

Kaspersky betont, dass seine Virenscanner infizierte Updates erkennen und blockieren. Bis jetzt scheint Asus betroffene Kunden nicht über das Risiko informiert zu haben. Laut The Verge wolle Asus demnächst eine Stellungnahme veröffentlichen.

Bevor Kaspersky mit dieser Entdeckung an die Öffentlichkeit ging, hatte bereits die IT-Nachrichten-Plattform Motherboard darüber berichtet. Motherboard zufolge dementierte Asus gegenüber Kaspersky, dass sein Update-Server in der beschriebenen Weise angegriffen wurde. Symantec bestätigt jedoch den Kaspersky-Bericht. Gegenüber Motherboard äußerte sich Asus nicht.

Kaspersky will Details zu dem Angriff im April 2019 auf einem Sicherheitskongress verraten. Eine ausführliche Beschreibung des Angriffs findet man aber bereits jetzt auf dieser Kaspersky-Seite.

Wer hinter dem Angriff steckt, ist derzeit unbekannt. Costin Raiu von Kaspersky sieht aber Parallelen zu dem ShadowPad-Angriff aus dem Jahr 2017. Microsoft hatte damals als Urheber der Attacke eine Hackergruppe namens "Barium" identifiziert, die mit der Volksrepublik China in Verbindung gebracht wird.

