ASUS-Updateprogramm gehackt

26. Juni, 2019
Asus Aktualisierungsprogramm gehackt

Laptops und Rechner werden seit Langem schon mit vorinstallierten Dienstprogrammen für automatische BIOS-, UEFI-, Treiber- und Anwendungsupdates ausgeliefert. Sie kontaktieren regelmäßig die Herstellerseite und rufen gerätespezifische herstellereigene Softwareupdates ab. Kaspersky Lap fand im Januar heraus, dass letztes Jahr eine ältere Version des ASUS Live-Aktualisierungsprogramms gekapert wurde. Hacker hatten darauf Backdoors installiert und dann als Update verteilt.

Für Besitzer eines Rechners der taiwanesischen Marke ASUS ist das eine sehr tückische Gefahr. Manchen Anwendern kam das Update etwas ungewöhnlich vor. Aber sie konnten letztendlich nichts Schlimmes darin finden – und installierten es. Die Folgen: Für die meisten der etwa eine Million betroffenen ASUS-Nutzer höchstwahrscheinlich keine. Eventuell ein paar seltsame Systemfehler. Aber für etwa 600 speziell ausgewählte Nutzer könnten die Folgen dramatisch sein.

Kaspersky entdeckte die Malware am 29. Januar auf dem Kunden-Computer. Es hatte eine neue Technologie zur Erkennung von Lieferketten eingesetzt. Es wollte damit anomale Codefragmente erfassen, die in legitimem Code oder Catch-Code versteckt sind in normalen Computer-Operationen. Die Kaspersky Forscher berichteten:

„Wir haben gesehen, wie die Updates vom Live Update ASUS-Server heruntergezogen wurden. Sie waren trojanisierte oder bösartige Updates und sie sind von ASUS signiert.“

Die Vorgehensweise der Hacker war ganz praktisch ausgelegt. Costin Raiu, Direktor des globalen Forschungs- und Analyse-Teams von Kaspersky sagte dazu:

„Wie bei jedem anderen Angriff auf eine Lieferkette sei dieser sehr opportunistisch ausgelegt gewesen. Die Angreifer haben ein breites Netz ausgeworfen, um erst einmal alles einzufangen. Und dann haben sie sich genau herausgepickt, was sie gesucht haben.“

Kaspersky gab dem Angriff den Namen ShadowHammer. Bei ihren Untersuchungen fanden sie einen Zusammenhang mit der ShadowPad-Malware. Diese war schon bei anderen ähnlichen Angriffen verwendet worden, wie beispielsweise bei NotPetya im Mai 2017 und dem CCleaner-Angriff im Juni 2017. Kaspersky geht mit ziemlicher Sicherheit davon aus, dass die von China unterstützte Hackergruppe Barium APT hinter dem Angriff steckt. Barium, auch bekannt unter den Namen APT17, Axiom und Deputy Dog, hat ein Markenzeichen: Es schreibt Angriffstools für jeden großen Angriff neu. Dann ist es Scannern nämlich nicht möglich die Schadsoftware zu erkennen, da sie nach alten bekannten Codesignaturen suchen. Raiu konnte daher auch bestätigen, dass „der ASUS-Vorfall, sich von jedem anderen bekannten Fall völlig unterscheidet.“

ASUS-Update war digital mit gültigem Zertifikat unterzeichnet

Der ShadowHammer-Angriff lief von Juni bis mindestens November 2018. ASUS hatte in dem Zeitraum etwa drei Millionen Laptops ausgeliefert. Bei der Vorbereitung des Angriffs zweckentfremdeten die Hacker die Software eines ASUS-Updates aus 2015. Sie verwendeten die ergatterten legitimen digitalen Zertifikate. Damit signierten sie legitime Binärdateien, inklusive eingebetteten bösartigen Code für das Update. Dieses Programm mit den Trojanern wurde dann auf den ASUS-Update-Servern gehostet und verteilt. Verwendet wurden eigentlich zwei verschiedene digitale ASUS-Zertifikate, um die Malware zu signieren. Zwei waren nötig, da die Gültigkeit eines Zertifikats Mitte 2018 auslief.

Die Malware, die mit dem Update auf die Rechner übertragen wurde, hieß setup.exe und war als ein Update des Update-Tools selbst getarnt. Die Forscher fanden später 230 verschiedene Backdoor-Muster. Tief darin vergraben waren fest programmierte MD5-Hash-Werte, von Mac-Adressen bestimmter Netzwerkkarten. Der MD5 Algorithmus erzeugt eine kryptografische Darstellung oder einen Wert für Daten, die durch den Algorithmus laufen.

Seitens der Kaspersky-Forscher hieß es dazu in einer Erklärung:

„Der modulare Ansatz und die zusätzlichen Vorsichtsmaßnahmen bei der Ausführung von Code, um versehentlichen Code oder Datenverlust zu verhindern, zeigen einen ausgeklügelten Angriff. Für die Akteure war es sehr wichtig, unentdeckt zu bleiben und gleichzeitig einige sehr spezifische Ziele mit chirurgischer Präzision zu treffen.“

Im später analysierten Backdoor-Code befanden sich ca. 600 fest codierte MAC-Adressen. Interessanterweise waren nicht nur ASUS-Rechner darunter zu finden. Nur auf diese MAC-Adressen leitete die Malware ihre nächste Angriffsstufe ein. Sie kontaktierte asushotfix.com, einen als legitime ASUS-Site getarnten Befehls- und Kontrollserver. Von dort lud sich die bösartige Software automatisch herunter.

Die Kapsersky-Forscher konnten die meisten der gefundenen MD5-Hashes knacken. So erkannten sie die MAC-Adressen und sahen genau, welche Netzwerkkarten die Opfer auf ihren Rechnern installiert hatten. Leider konnten sie dabei nicht die Opfer selbst ausfindig machen. Das lag daran, dass der bösartige Command and Control Server im November von den Hackern abgeschaltet wurde. Das war, bevor Kaspersky selbst den Angriff entdeckte. Hätten die Forscher eine Kopie der zweiten Backdoor erhalten, hätten sie die Opfer genau identifizieren können.

Daher blieb Kaspersky nichts anderes übrig, als ein eigenes Tool zu entwickeln. Damit kann festgestellt werden, ob die MAC-Adressen Ihrer Rechner auf der Liste der Hacker stehen. Kaspersky will potenzielle Opfer kontaktieren, um ihre Forschungen voranzutreiben. Ziel ist es, herauszufinden, was die Hacker wollten und was die Opfer gemeinsam haben. Auch ASUS veröffentlichte später ein Diagnosetool für seine Kunden.

ASUS wegen Untätigkeit gescholten

Kaspersky übte Kritik an ASUS Vorgehen in diesem Fall. Es hatte das Unternehmen am 31. Januar über das Problem informiert und sich am 14. Februar persönlich mit ASUS getroffen. Danach aber blieb ASUS einfach still und informierte seine Kunden nicht über den Vorfall. Das geschah erst, als Kaspersky damit an die Öffentlichkeit ging. Außerdem nutzte ASUS eines der kompromittierten Zertifikate mindestens noch einen Monat lang weiter. Später veröffentlichte ASUS eine Pressemitteilung in der es hieß:

„ASUS hat auch in der neuesten Version (Version 3.6.8) der Live Update-Software einen Fix implementiert und mehrere Sicherheitsüberprüfungsmechanismen eingeführt. Damit sollen böswillige Manipulationen in Form von Software-Updates oder anderen Mitteln verhindert werden. Außerdem haben wir den End-to-End-Verschlüsselungsmechanismus verbessert. Gleichzeitig haben wir auch unsere Server-to-End-Benutzer-Software-Architektur aktualisiert und verstärkt, um zu verhindern, dass in Zukunft ähnliche Angriffe stattfinden.“

Es ist nicht das erste Mal, dass ASUS etwas schlampig mit der Sicherheit seiner Kunden umgeht. 2016 gab es schon einen Rüffel von der Federal Trade Commission wegen falscher Darstellung und unlauterer Sicherheitspraktiken in seinen Routern, Cloud-Backup-Speicher und Firmware-Update-Tools. ASUS hätte mindestens ein Jahr lang davon gewusst, bevor es eine Million Kunden benachrichtigte.

ASUS ist vielleicht gar nicht alleine mit dem Problem. Kaspersky fand ganz ähnliche Hintertüren bei drei anderen asiatischen Herstellern. Außerdem gab es Ähnlichkeiten zwischen diesem Angriff und vorherigen Angriffen durch die ShadowPad Hackergruppe. Es gab klar ersichtliche Verbindungen zum CCleaner-Angriff. Da sich damals auch ASUS-Rechner darunter befanden, vertritt Kaspersky die Idee, dass die Hacker durch diesen Angriff später Zugriff auf die ASUS-Server erhielten.

Anzumerken ist auch, dass es im Netz schon frühe Anzeichen des Angriffs gegeben hatte. Im Juni unterhielten sich ein paar Leute auf dem Reddit-Forum über einen sehr verdächtigen ASUS-Hinweis. Ein Teilnehmer schrieb:

„Der ASUSFourceUpdater.exe versucht, ein mysteriöses Update durchzuführen, aber er will nicht sagen, was genau.“

User klickten sogar auf ihr ASUS-Update-Tool klickten, um Informationen über das Update zu erhalten. Es zeigte an, dass keine aktuellen Updates von ASUS veröffentlicht wurden. Einer bemerkte sogar die falsche Schreibweise des Wortes „force“ und ein leeres Fenster unter Details. Allerdings gab er zu, er habe seltsame Grammatikfehler bereits in anderen installierten ASUS-Programmen bemerkt. Daher sei es kein Selbstläufer, dass damit etwas falsch ist.

Das sagt uns, dass es durchaus sinnvoll sein kann, auf sein Bauchgefühl zu hören. Auch Nutzer würden sich sicherlich freuen, wenn ASUS mehr Präsenz in den Foren zeigen würde und solchen Hinweisen nachgehen würde.

Artikel von wired.com, 25.03.2019: Hack Brief: How to Check Your Computer for Asus Update Malware
Artikel von threatpost.com, 25.03.2019: Some ASUS Updates Drop Backdoors on PCs in ‘Operation ShadowHammer’
Artikel von motherboard.vice.com, 25.03.2019: Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen