Server gekapert
25.03.2019, 17:43 Uhr
Hacker verschickten Malware mit dem Asus-Update-Tool
Asus hat einem Medienbericht zufolge unwissentlich Malware auf den PCs seiner Kunden verbreitet. Hacker hatten zuvor einen Update-Server der Firma manipuliert. Obwohl viele User betroffen sind, hatten die Angreifer wohl ganz spezifische Ziele im Visier.
Der taiwanesische PC-Hersteller Asus wurde offenbar unwissentlich dazu benutzt, Schadsoftware auf PCs seiner Kundinnen und Kunden zu installieren. Einem Bericht des Tech-Magazins «Motherboard» zufolge, kaperten Hacker dazu einen Update-Server des Unternehmens. In der Folge luden sich User eine zertifizierte Version der Software «ASUS Live Update Utility» herunter, in die die Hacker eine Backdoor einbauten. Der Angriff lief angeblich zwischen Juni und November 2018, flog jedoch erst im Januar dieses Jahres auf.
Aufgedeckt wurde der ausgeklügelte Angriff durch Security-Experten von Kaspersky. Sie tauften die Attacke «ShadowHammer» und sprechen in einem Report von einer «grossen Zahl» Betroffener. Im Bericht werden sie noch etwas konkreter: Auf Basis ihrer Statistiken hätten sich über 57'000 Kaspersky-Nutzer die manipulierte Version der Update-Software heruntergeladen. Die Zahl aller infizierten Geräte soll laut den Experten jedoch deutlich höher liegen. «Wir sind nicht in der Lage, die Gesamtzahl der betroffenen Benutzer nur anhand unserer Daten zu berechnen. Aber wir schätzen, dass das tatsächliche Ausmass des Problems viel grösser ist und möglicherweise über eine Million Benutzer weltweit betrifft», heisst es im Report Kasperskys.
Allerdings hatten es die Angreifer wohl auf ganz spezifische Nutzer abgesehen. Gemäss Kaspersky handelt es sich um einen Pool von 600 MAC-Adressen. Identifizierte die Malware eine dieser Adressen, baute sie den Kontakt zu einem Command-and-Control-Server auf und lud weitere Schadsoftware nach, wie «Motherboard» weiter berichtete.
Die IT-Cracks von Kaspersky programmierten inzwischen ein Tool, mit dem festgestellt werden kann, ob man zu den ausgewählten Zielen des Angriffs gehört. Die Firma stellt zudem einen Online-Dienst zur Verfügung, über den die MAC-Adressen abgeglichen werden können.