Server gekapert

Hacker verschickten Malware mit dem Asus-Update-Tool

von - 26.03.2019
Malware in Code versteckt
Foto: andriano.cz / shutterstock.com
Asus hat einem Medienbericht zufolge unwissentlich Malware auf den PCs seiner Kunden verbreitet. Hacker hatten zuvor einen Update-Server der Firma manipuliert. Obwohl viele Nutzer betroffen sind, hatten die Angreifer wohl ganz spezifische Ziele im Visier.
Der taiwanesische PC-Hersteller Asus wurde offenbar unwissentlich dazu benutzt, Schadsoftware auf PCs seiner Kundinnen und Kunden zu installieren. Einem Bericht des Tech-Magazins Motherboard zufolge, kaperten Hacker dazu einen Update-Server des Unternehmens. In der Folge luden sich User eine zertifizierte Version der Software "Asus Live Update Utility" herunter, in die die Hacker eine Backdoor einbauten. Der Angriff lief angeblich zwischen Juni und November 2018, flog jedoch erst im Januar dieses Jahres auf.
Aufgedeckt wurde der ausgeklügelte Angriff durch Security-Experten von Kaspersky. Sie tauften die Attacke "ShadowHammer" und sprechen in einem Report von einer "großen Zahl" Betroffener. Im Bericht werden sie noch etwas konkreter: Auf Basis ihrer Statistiken hätten sich über 57'000 Kaspersky-Nutzer die manipulierte Version der Update-Software heruntergeladen. Die Zahl aller infizierten Geräte soll laut den Experten jedoch deutlich höher liegen. "Wir sind nicht in der Lage, die Gesamtzahl der betroffenen Benutzer nur anhand unserer Daten zu berechnen. Aber wir schätzen, dass das tatsächliche Ausmaß des Problems viel größer ist und möglicherweise über eine Million Benutzer weltweit betrifft", heißt es im Report von Kaspersky.
Allerdings hatten es die Angreifer wohl auf ganz spezifische Nutzer abgesehen. Laut Kaspersky handelt es sich um einen Pool von 600 MAC-Adressen. Identifizierte die Malware eine dieser Adressen, baute sie den Kontakt zu einem Command-and-Control-Server auf und lud weitere Schadsoftware nach, wie Motherboard weiter berichtete.
Die IT-Cracks von Kaspersky programmierten inzwischen ein Tool, mit dem festgestellt werden kann, ob man zu den ausgewählten Zielen des Angriffs gehört. Die Firma stellt zudem einen Online-Dienst zur Verfügung, über den die MAC-Adressen abgeglichen werden können.
Verwandte Themen