Hunderttausende von Asus-Computern mit Virus infiziert
Hackerangriff Die Schadsoftware wurde offenbar per Update ausgeliefert – eine zunehmend beliebte Angriffsmethode.
Asus ist Opfer eines Angriffs geworden. Angreifer haben es offenbar geschafft, in die Server einzubrechen und Schadsoftware in Kundendownloads einzuschleusen. Über das Programm mit Namen Live Update Utility, das automatisch Updates ausliefert, wurde diese Software auf Hunderttausende Computer verteilt; zwei Prozent der Opfer stammen aus der Schweiz. Die Kriminellen konnten die Software sogar digital signieren, um sie als echtes Update zu kennzeichnen.
Das Sicherheitsunternehmen Kaspersky hat den Angriff – der inzwischen den martialischen Namen «Shadow Hammer» (Schattenhammer) trägt – am Montag in einem Blogpost publik gemacht. Zwischen Juni und November 2018 fand der Angriff statt und wurde erst im Januar 2019 entdeckt. Kaspersky hat daraufhin Kontakt zu Asus aufgenommen.
Trotz des gross angelegten Angriffs hatten es die Hacker offenbar nur auf wenige Opfer abgesehen. Im Code der Schadsoftware haben die Sicherheitsforscher 600 Adressen von Netzwerkadaptern gefunden. Nur wenn die Schadsoftware eine passende Adresse gefunden hat, ist sie aktiv geworden, um weitere Schadsoftware aus dem Netz zu laden. Das erinnert an einen Fall von vor zwei Jahren, wo die populäre Windows-Software Ccleaner infiziert und über die automatische Updatefunktion ausgeliefert worden war. Auch hier kam ans Licht, dass es nur um 40 Computer in 12 Unternehmen ging.
USA gründeten Taskforce
Bei einem anderen Fall wurde das Update einer Buchhaltungssoftware mit dem Trojaner Notpetya infiziert. Er hat 2017 für einen riesigen Schaden gesorgt. Betroffen waren damals grosse und kleine Unternehmen, und selbst in der AKW-Ruine von Tschernobyl sind damals Windows-Computer zur Strahlenmessung ausgefallen.
Kaspersky weist in diesem Zusammenhang auf eine andere Gefahr hin, die im Zunehmen begriffen sei: Die sogenannten «supplychain attacks», also Angriffe via Lieferkette: Die Software wird beim Lieferanten eingeschleust und gelangt über die Hersteller in die Endprodukte. Das kann über Updates, aber auch schon während der Herstellung passieren. Die USA haben letztes Jahr eine Taskforce gegründet, die Gegenmassnahmen ergreifen soll. Das Onlinemagazin «Motherboard» zitiert einen hochrangigen Mitarbeiter des US-Auslandsgeheimdiensts NSA, der sagt, diese neue Angriffsform stamme aus der Kategorie der «Big Deals»: Da haben Leute sorgfältig geplant. Trotzdem sei das die Holzhammermethode, wenn Tausende von Leuten betroffen seien, obwohl es nur um ein paar wenige Opfer gehe.
Betroffene Server nun offline
Woher der Angriff kam und wer im Visier stand, hat Kaspersky nicht herausgefunden oder nicht kommuniziert. Besitzern von Asus-PC und -Laptopsdroht keine akute Gefahr, selbst wenn die Software via Update aufs Gerät gelangt sein sollte: Zum einen wegen des Musters eines gezielten Angriffs. Zum anderen sind die Server, mit denen die Schadsoftware kommuniziert, nicht mehr online. Kaspersky stellt ein Programm bereit, das überprüft, ob die Software vorhanden ist und ob das Gerät eine der Netzwerkadressen aufweist, auf die der Angriff abgezielt hat. Download des Windows-Programms unter kas.pr/shadowhammer.
Falls Ihnen ein Update für das Live Update Utility von Asus angeboten wird, sollten Sie das auf den neuesten Stand bringen.
Matthias Schüssler