Demo ansehen×
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

ASUS Supply Chain Attack hat möglicherweise eine halbe Million Computer infiziert: Wie man weiß, ob man betroffen ist

,
  • Zuletzt aktualisiert März 18, 2024
,
  • Zuletzt aktualisiert März 18, 2024

[av_textblock size=“ font_color=“ color=“ av-medium-font-size=“ av-small-font-size=“ av-mini-font-size=“ av_uid=’av-jtrg8h4u‘ custom_class=“ admin_preview_bg=“]
ASUS supply chain attack 2018

Am Montag überbrachte Kim Zetter vom Motherboard die Nachricht, dass Angreifer das Software-Update-Tool für ASUS, einen der größten Computerhersteller der Welt, gekapert hatten. Forscher schätzen, dass das Tool zwischen Juni und November 2018 zur Installation von Hintertüren an Hunderttausenden von Maschinen verwendet wurde. Hier ist, was Sie und Ihre Kunden wissen müssen.

Was ist passiert? Kurze Fakten:

  • Angreifer haben das ASUS Live Update Utility gefährdet, das auf ASUS-Notebooks vorinstalliert ist und automatisch Firmware- und Software-Updates installiert.
  • Sie nutzten das Tool, um von Juni 2018 bis November 2018 Malware auf ASUS-Geräten bereitzustellen. Aktualisierungen, die nach November 2018 eingehen, scheinen nicht betroffen zu sein.
  • Die Malware hat sich als Update für das Update-Tool ausgegeben und wurde mit einem von zwei legitimen ASUS-Zertifikaten signiert. Infolgedessen konnte die Malware der Erkennung entgehen, indem sie den Benutzern und Sicherheitsprogrammen signalisierte, dass es sich um eine vertrauenswürdige Datei handelte.
  • Nach der Installation überprüfte die Malware die MAC-Adressen der Opfer, um festzustellen, ob sie auf einem von mindestens 600 spezifischen Zielen gelandet sind. Wenn bestätigt, rief es zu einer als legitime ASUS-Site getarnten Website (asushotfix[dot]com) und lud eine Payload der zweiten Stufe herunter. Andernfalls blieben alle Opfer mit der installierten ersten Hintertür zurück.
  • Forscher des Antivirenunternehmens Kaspersky glauben, dass das operative Ziel des Angriffs zusammen mit anderen Indikatoren darauf hindeutet, dass es die Arbeit eines erfahrenen Threat-Akteurs ist. Sie haben den Angriff offiziell als „Operation ShadowHammer“ bezeichnet und vermuten, dass er mit früheren Angriffen auf die Lieferkette verbunden sein könnte, einschließlich des CCleaner-Supply-Chain-Angriffs 2017, der 2,3 Millionen Benutzer weltweit infizierte.
  • Nachdem ASUS die Gefährdung zunächst geleugnet hat, hat ASUS eine Erklärung herausgegeben, in der es bestätigt, dass „eine kleine Anzahl von Geräten mit bösartigem Code infiziert wurde“. Das Unternehmen sagt, dass die neueste Version von Live Update (3.6.8) sicher ist, obwohl es Berichte über Schwierigkeiten bei der Aktualisierung auf diese Version gegeben hat, und dass sie derzeit nicht für den manuellen Download von der ASUS-Website verfügbar zu sein scheint (obwohl ASUS das Gegenteil anzeigt). Darüber hinaus wurde das Zertifikat, mit dem die Malware signiert wurde, noch nicht gesperrt.

Warum ist das eine große Sache?

1) Die Bedrohung durch diese Malware war enorm

ASUS ist der fünftgrößte PC-Anbieter der Welt und macht sechs Prozent des PC-Marktes aus. Die Reichweite dieses Angriffs auf die Lieferkette – der mindestens fünf Monate lang durchgeführt wurde – war groß. Kaspersky fand den bösartigen Updater bei 5customer-count seiner eigenen Kunden, aber Forscher des Unternehmens schätzen, dass die Gesamtzahl der infizierten Computer außerhalb ihres Kundenstamms möglicherweise über eine Million liegen könnte.

ShadowHammer victims by country

Kaspersky-Kunden, die von ShadowHammer infiziert wurden, nach Land. Quelle: Kaspersky

Das Sicherheitsunternehmen Symantec bestätigte die Ergebnisse von Kaspersky bei Zetter und berichtete, dass mindestens 13.000 seiner eigenen Kunden ebenfalls von der Malware infiziert waren.

2) Die Malware war in der Lage, unbemerkt an den Schutzmaßnahmen vorbeizugehen

Supply Chain Angriffe wie diese sind schwer zu verhindern. In diesem Fall konnten die Angreifer ihre Malware in mehrere Legitimationsstufen einbinden:

  • Die Malware wurde über die vertrauenswürdige Update-Anwendung von ASUS installiert.
  • Angreifer realisierten die Malware, indem sie bösartigen Code in eine legitime ASUS-Update-Datei von 2015 injizierten.
  • Die Malware wurde mit einem legitimen ASUS-Zertifikat digital signiert (Seriennummer 05e6a0be5ac359c7ff11f4b467ab20fc).

Das ASUS-Zertifikat , mit denen die bösartige ASUS Live Update Installer-Dateien signiert wurden. Quelle: Kaspersky

Infolgedessen war es in der Lage, überzeugend als authentisches Update durchzugehen und Sicherheitsprogramme und sogar Benutzer auszutricksen, die versiert genug waren, die Dateien zu VirusTotal hochzuladen, das sie als virenfrei ausweist.

3) Wenn Hintertüren installiert sind, sind die Opfer für eine Vielzahl von Bedrohungen anfällig

Während nur eine kleine, vorher festgelegte Liste von MAC-Adressen für den Empfang der Nutzdaten der zweiten Stufe vorgesehen war, haben alle Opfer, die den bösartigen Update-Installer zwischen Juni und November 2018 erhalten haben, immer noch Malware auf ihren Systemen.

Die gute Nachricht ist der Command and Control Server, der die Nutzdaten der zweiten Stufe lieferte, wurde im November heruntergefahren, aber bis wir mehr über die Fähigkeiten der Malware wissen, müssen Opfer davon ausgehen, dass es ein anhaltendes Risiko gibt, dass die Malware auf ihren Computern installiert ist.

Wie können Sie feststellen, ob Sie oder Ihre Kunden betroffen sind?

Kaspersky verfügt über ein Online-Tool, mit dem Sie feststellen können, ob Ihre MAC-Adresse eine der 600 Adressen ist, die die Angreifer für die Auslieferung der Nutzdaten der zweiten Stufe ins Auge gefasst haben.

Kaspersky ShadowHammer MAC address tool

Hinweis: Wenn Ihre MAC-Adresse übereinstimmt, ist das noch kein Grund zur Panik. Experten weisen darauf hin, dass eine kleine Anzahl von MACs Fehlalarme auslösen kann.

Leider sagt Ihnen das Kaspersky-Tool nicht, ob Sie eine Backdoor-Version von Live Update installiert haben. Obwohl sie hier eine kleine Anzahl von Hashes und anderen Indikatoren für Kompromisse (IOCs) bereitstellen.

ASUS hat auch ein „Sicherheitsdiagnosetool“ zur Verfügung gestellt, aber es ist unklar, ob es lediglich Ihre MAC-Adresse überprüft oder Ihnen hilft, die anderen Anzeichen einer Infektion zu erkennen. Wenn Sie sich mutig genug fühlen, das Programm herunterzuladen (ASUS hat schließlich gerade einen Angriff auf die Supply Chain erlitten), können Sie jedoch Schwierigkeiten haben, es auszuführen.

Womp. womp.

UPDATE 27.03.2019: Dank der Analyse der Forscherin Vitali Kremez verfügen wir nun über ein zusätzliches IOC. Wenn die MAC-Adresse des Opfers NICHT mit einer Adresse auf der hartcodierten Liste übereinstimmt, erstellt die Malware eine Datei namens .idx.ini im Benutzerverzeichnis. Der Zweck der Datei ist unklar, aber ihr Vorhandensein ist ein Hinweis darauf, dass der Computer tatsächlich mit einer Backdoored-Version von ASUS Live Update infiziert war, aber keine Nutzdaten der zweiten Stufe geliefert wurden.

Was können Sie jetzt noch tun, um sich und Ihre Kunden zu schützen?

  • Wenn Sie ASUS-Notebooks haben, stellen Sie sicher, dass die neueste Version von Live Update (3.6.8) installiert ist. Wenn Sie direkt zu den ASUS-Support-Seiten gehen, beachten Sie, dass ASUS auf seiner Supportseite immer noch auf ältere Versionen von Live Update verweist.

  • Überwachung / Blockierung der von Kaspersky und Florian Roth bereitgestellten Hash-IOCs.
  • Stellen Sie sicher, dass Sie Ihre Systeme sichern, dass Ihre Sicherheitssoftware auf dem neuesten Stand ist und dass Sie konkrete Schritte unternehmen, um Ihre Systeme zu schützen und Ihre Angriffsfläche zu reduzieren (wir haben eine neue Checkliste, die Ihnen helfen kann).

Wir werden die Entwicklung aufmerksam verfolgen. Für Informationen darüber und andere Sicherheitsfragen, die MSPs und Kunden betreffen, abonnieren Sie unseren Blog.

In der Zwischenzeit können Sie unsere 2019 MSP Cybersecurity Checkliste herunterladen.


[/av_textblock]

Nächste Schritte

Die Grundlagen der Gerätesicherheit sind entscheidend für Ihre allgemeine Sicherheitslage. NinjaOne macht es einfach, alle Geräte zentral, per Fernzugriff und in großem Umfang zu patchen, zu härten, abzusichern und zu sichern.
Erfahren Sie mehr über NinjaOne Protect, sehen Sie sich eine Live-Tour an oder starten Sie Ihre kostenlose Testversion der NinjaOne-Plattform.
Kostenlos Testen

Das könnte Sie auch interessieren

VMware management tools featured image

Die 10 besten VMware-Management-Tools

A man realizes how human error relates to

Wie menschliches Versagen mit Cybersecurity-Risiken zusammenhängt

Wie Sie Patch Management automatisieren

Gartner Report image

Optimieren Sie die Sicherheit und beschleunigen Sie das Patching mit Gartner Research

BYOD Security Guide: Top Threats & Best Practices blog banner image

BYOD-Sicherheits-Guide: Top-Bedrohungen und bewährte Verfahren

Illustration of RMM Software features

10 beste Remote Monitoring & Management (RMM) Software-Lösungen [2024]

Sind Sie bereit, ein IT-Ninja zu werden?

Erfahren Sie, wie Sie mit NinjaOne Ihren IT-Betrieb vereinfachen können.
Kostenlos testen
Produktvorstellung ansehen
Newsletter icon

Keine Ausgabe verpassen – Abonnieren Sie den Newsletter von NinjaOne

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
I Accept