Die Hauptnachricht der letzten Woche ist ein gezielter Angriff auf Asus-GerĂ€tebesitzer ĂŒber das gehackte Asus Live Update-Dienstprogramm. Forscher von Kaspersky Lab fanden im Januar dieses Jahres einen Angriff: Ein infiziertes
Dienstprogramm zum Aktualisieren von Treibern auf Laptops und Computern mit Asus-Komponenten wurde mit einem legitimen Zertifikat signiert und von den Servern des Herstellers verteilt. Durch die Ănderung des Dienstprogramms erhielten Cracker vollen Zugriff auf alle betroffenen Systeme. Diese Gelegenheit wurde jedoch nur genutzt, wenn die MAC-Adresse eines der Netzwerkadapter des Systems mit der Liste der interessierenden Systeme ĂŒbereinstimmte.
In diesem Fall wurde zusĂ€tzliche Malware von dem im MĂ€rz 2018 erstellten Server heruntergeladen und funktionierte nicht mehr, bevor der Angriff erkannt wurde - vorerst aus unbekannten GrĂŒnden. Der Angriff zeichnet sich durch seine KomplexitĂ€t und Heimlichkeit aus. Höchstwahrscheinlich gingen gröĂere Ereignisse voraus, um Informationen zu sammeln und âvielversprechendeâ Opfer zu identifizieren. Obwohl es noch zu frĂŒh ist, um ĂŒber die genaue Zuordnung eines Angriffs zu sprechen, gibt es Hinweise, die ihn mit frĂŒheren VorfĂ€llen mit dem
CCleaner- Dienstprogramm 2017 in Verbindung bringen. Eine vollstÀndige Untersuchung des Angriffs wird nÀchste Woche veröffentlicht und auf dem
Security Analyst Summit der Kaspersky Lab-Konferenz vorgestellt. In diesem Beitrag - eine kurze Beschreibung des Vorfalls und einige Schlussfolgerungen.
Hauptquellen:
Nachrichten ,
AuszĂŒge aus einer Kaspersky Lab-Studie, ein ausfĂŒhrlicher Artikel auf dem
Motherboard , eine offizielle
ErklÀrung von Asus. Mit
diesem Onlinedienst können Sie die MAC-Adresse Ihres Asus-GerĂ€ts ĂŒberprĂŒfen.
Was ist passiert
Von Juni bis November 2018 wurde eine infizierte Version des Dienstprogramms Asus Live Update von Asus-Servern verteilt. Das Programm ist auf Laptops dieses Herstellers vorinstalliert, steht jedoch auch Besitzern von Computern zur VerfĂŒgung, die auf Asus-Motherboards basieren. Sie können die neuesten BIOS-, Firmware- und GerĂ€tetreiber herunterladen und automatisch installieren. Die schĂ€dliche Anwendung wurde auf die Server des Anbieters hochgeladen, mit den legitimen Zertifikaten des Unternehmens signiert und als Update fĂŒr das Programm verteilt. Reddit hat eine
Diskussion ĂŒber das seltsame Verhalten des Dienstprogramms, obwohl noch nicht festgestellt wurde, ob der im Thread erwĂ€hnte Vorfall mit diesem Angriff zusammenhĂ€ngt.
Obwohl das Dienstprogramm âaktualisiertâ wurde, handelte es sich tatsĂ€chlich um eine veraltete Version des Programms mit zusĂ€tzlichen schĂ€dlichen Funktionen (eine Analyse des von einem unabhĂ€ngigen Forscher durchgefĂŒhrten Schadcodes finden Sie
hier ). Es kann gefolgert werden, dass die Asus-Infrastruktur teilweise gefĂ€hrdet war: Die Angreifer hatten Zugriff auf den Update-Server und die digitalen Zertifikate, jedoch nicht auf den Quellcode der Anwendung und die Build-Server. Die Erkennung eines böswilligen Dienstprogramms wurde durch Tests einer neuen Technologie ermöglicht, die darauf abzielt, Angriffe in der Lieferkette (auf Englisch - Lieferkette) zu erkennen, wenn Angreifer entweder Software oder Hardware angreifen, bevor sie an das Opfer des Endverbrauchers geliefert werden, oder die Service-Tools und kompromittieren GerĂ€teverwaltung wĂ€hrend des Betriebs - diejenigen, die normalerweise vertrauenswĂŒrdig sind.
Wer hat weh getan?
Wenn Sie alle diejenigen zĂ€hlen, die das Dienstprogramm "mit einem Anhang" geflogen sind, waren Zehntausende von Benutzern betroffen, die meisten davon aus Russland, Deutschland und Frankreich. Dies ist jedoch nur nach Kaspersky Lab. SpĂ€ter stellte Symantec seine eigenen Daten zur VerfĂŒgung - sie zĂ€hlten 13.000 infizierte Systeme mit
einem gröĂeren Anteil an US-Benutzern. Dies ist eindeutig nicht alles betroffen, höchstwahrscheinlich befand sich die Malware auf Hunderttausenden von Systemen. Auf den meisten angegriffenen Computern hat das Dienstprogramm jedoch nichts unternommen, sondern nur die MAC-Adressen mit einer eigenen Datenbank ĂŒberprĂŒft. Im Falle eines Zufalls vom Befehlsserver (die DomĂ€ne asushotfix [.] Com wurde dafĂŒr registriert) wurde zusĂ€tzliche Software geladen. In einigen FĂ€llen war der Auslöser eine Kombination der MAC-Adressen der kabelgebundenen und kabellosen Netzwerkmodule.
Aus zweihundert Beispielen des infizierten Dienstprogramms konnten wir ungefÀhr 600 MAC-Adressen der Systeme extrahieren, auf die der ShadowHammer-Angriff wirklich abzielte. Was dann mit ihnen gemacht wurde, ist noch nicht klar: Der Befehlsserver funktionierte nicht mehr, bis die Forscher den Angriff entdeckten. Bekannte Fakten enden dort, Schlussfolgerungen beginnen.
Die KomplexitĂ€t des Angriffs lĂ€sst sich kaum noch ĂŒberraschen - es gibt Beispiele fĂŒr gezielte Angriffe mit viel ernsthafteren Investitionen in Forschung und Entwicklung. Ein wichtiges Merkmal des ShadowHammer-Vorgangs ist, dass es sich um einen erfolgreichen Supply-Chain-Angriff handelt. Die infizierte Software wird von den Servern des Herstellers verteilt und vom Herstellerzertifikat signiert. Auf der Clientseite gibt es keinen Grund, einem solchen Szenario nicht zu vertrauen. In diesem Fall handelt es sich um ein vorinstalliertes Dienstprogramm, aber auch andere frĂŒhere Programme, die der Benutzer normalerweise selbst installiert, wurden erfolgreich angegriffen. Experten von Kaspersky Lab haben Grund zu der Annahme, dass der neue ShadowHammer-Angriff mit zwei VorfĂ€llen vor zwei Jahren zusammenhĂ€ngt.
Im ersten Fall wurde das oben erwĂ€hnte CCleaner-Dienstprogramm geĂ€ndert und auch von den Servern des Herstellers verteilt. Im zweiten Fall wurde der Hersteller von Software zur Verwaltung von GerĂ€ten im NetSarang-Unternehmensnetzwerk angegriffen. Es ist möglich, dass es andere Angriffe gab, bei denen Angreifer die MAC-Adressen von Computern sammelten, die fĂŒr die Opfer von Interesse waren. In dieser Geschichte gibt es einen Hinweis auf einen der wahren GrĂŒnde fĂŒr die Masseninfektion von IoT-GerĂ€ten - IP-Kameras, Router und dergleichen. Es ist nicht immer möglich, ĂŒber ein infiziertes GerĂ€t auf die gewĂŒnschten Daten zuzugreifen, aber es können genĂŒgend Informationen gesammelt werden, um sie fĂŒr den nĂ€chsten, gezielteren Vorgang zu verwenden.
NatĂŒrlich stellt sich die Frage nach dem Vertrauen in die Hersteller von Hardware und Software: Wenn ein Software-Update oder ein Treiber von einem Anbieter eingeht, ist es sicher oder nicht? Vielleicht mĂŒssen Sie noch vertrauen, sonst kann der Punkt der Verwundbarkeit einfach an einen anderen Ort verschoben werden. Eine schnelle Reaktion des Herstellers auf solche VorfĂ€lle ist ebenfalls willkommen. Im Fall von Asus vergingen laut Kaspersky Lab fast zwei Monate von der ersten Benachrichtigung (Ende Januar) bis zur offiziellen BestĂ€tigung des Problems (26. MĂ€rz). Ich frage mich, welche Technologien verwendet werden, um solche Angriffe schnell zu erkennen. Sowohl fĂŒr Hersteller von Sicherheitssoftware als auch fĂŒr Anbieter gibt es etwas zu tun. Es gibt immer noch wenige FĂ€lle, in denen ein legitimes Zertifikat zum Signieren von Malware verwendet wird, aber das bloĂe Vorhandensein einer digitalen Signatur kann nicht mehr als einziges Kriterium fĂŒr die Bewertung von Software dienen.
Haftungsausschluss: Die in dieser Ăbersicht geĂ€uĂerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab ĂŒberein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.