Es ist ein Worst Case Szenario für Asus und seine Kunden: Unbekannten Hackern ist es gelungen die Update-Server des Unternehmens zu knacken und auf diesem Weg monatelang unbemerkt Windows-Rechner zu unterwandern. Die Sicherheitsforscher von Kaspersky Lab, die den Angriff entdeckt haben, schätzen, dass rund eine halbe Million Nutzer betroffen sind. Selbst habe man die Infektion auf 57.000 Rechnern nachweisen können – darunter vor allem Systeme in Russland, Deutschland und Frankreich.

Ziel

Was die Analyse auch zeigt: Die Angreifer scheinen diesen Weg genutzt zu haben, um sehr konkret einzelne Systeme auszuspionieren, wie Motherboard berichtet. Denn nur auf 600 der mit der Hintertür ausgestatteten Computer wurde anschließend auch weitere Schadsoftware nachgeladen. Die Auswahl der betreffenden Systeme wurde dabei über einen Abgleich mit einer Liste an Mac-Adressen vorgenommen, die mit der Hintertür mitgeliefert wurde. Die Mac-Adresse ist ein eindeutiger Identifikator, der von der Netzwerkkarte geliefert wird, und innerhalb eines Netzwerks öffentlich einsehbar ist.

Ablauf

Möglich wurde all dies, weil die Angreifer offenbar an jenes geheime Zertifikat gekommen sind, mit dem Asus seine Updates signiert. Dadurch konnten sie beliebige Veränderungen vornehmen, die dann vom Asus Update Tool als legitime Softwareaktualisierungen klassifiziert wurden. Dabei bediente man sich einer Domain namens asushotfix.com, die auf einem Server in Russland lief. Daraus eine Zuordnung der Urheberschaft vorzunehmen wäre aber verfehlt, es ist unter Hackern eine übliche Methode falsche Spuren zu legen.

Kritik

Die Attacke soll zwischen Juni und November 2018 stattgefunden haben. Kritik gibt es von Kaspersky an der Reaktion von Asus, die bisher nämlich ziemlich spärlich ausfällt. So habe der Hersteller das betreffende Zertifikat nach der Warnung noch ein Monat weiterverwendet, bis dato wurde es nicht offiziell zurückgezogen. Eine offizielle Information der Kunden habe es bislang von Seiten des taiwanesischen Hardwareherstellers ebenfalls noch nicht gegeben.

Weitere Details zu dem Angriff will der Sicherheitsdienstleister im Rahmen das Kaspersky Security Analyst Summit verraten, der im April in Singapur abgehalten wird. (apo, 26.3.2019)