Update: ASUS Live Update verbreitete Schadsoftware

25. März 2019
Update: 26. März 2019

Beschreibung

Die IT-Sicherheitsfirma Kaspersky hat einen Artikel veröffentlicht der besagt, dass die Update-Infrastruktur der Computerherstellerfirma ASUS von Juni 2018 bis November 2018 zumindest teilweise von Kriminellen kontrolliert wurde, die dadurch über das Tool "ASUS Live Update" Schadsoftware verbreiten konnten.

Die Kriminellen konnten die bösartigen Updates mit legitimen ASUS-Zertifikaten signieren, weshalb Nutzer keine Sicherheitswarnungen bei der Installation angezeigt bekamen.

Laut einem Artikel des PC-Magazins Motherboard bestätigte auch die IT-Securityfirma Symantec, dass Nutzer ihrer Software, die "ASUS Live Update" nutz(t)en, von dem Angriff betroffen sind.

Kaspersky gibt an, dass von den 57.000 Infektionen, die sie auf Systemen auf denen Kaspersky-Software installiert ist, analysiert haben, etwa 2% auf Österreich entfallen.

Update: 26. März 2019

ASUS hat ein Statement veröffentlicht in dem die Firma angibt, dass nur das Tool "ASUS Live Update" welches auf Notebooks zum Einsatz kommt betroffen ist. Außerdem ist dort ein Diagnoseprogramm verlinkt, mit dem geprüft werden kann, ob ein Laptop infiziert ist. Tipps zur Bereinigung führt ASUS unter "What should I do if my device is affected?" an.

Auswirkungen

Kriminelle können legitime Programme durch Schadsoftware ersetzen und im schlimmsten Fall den gesamten Computer übernehmen.

Betroffene Systeme

Potentiell alle Systeme, die "ASUS Live Update" installiert haben und darüber Updates für Applikationen, Treiber und Firmware (BIOS, UEFI) erhalten.

Bei dem Angriff handelte es sich um eine mehrstufige Schadsoftware und nur die erste Stufe wurde großflächig ausgerollt. Diese überprüft, ob das befallene System eine von mehr als 600 MAC Adressen hat und kontaktiert im Falle eines Treffers einen Command & Control Server. Dennoch dürfte die Schadsoftware in jedem Fall Backdoorfunktionalität aufweisen.

Abhilfe

Derzeit ist CERT.at kein Weg bekannt, die Schadsoftware sicher und vollständig zu entfernen. Eine vollständige Neuinstallation des Betriebssystems scheint derzeit die beste Möglichkeit zu sein, aber da "ASUS Live Update" auch Treiber und BIOS/UEFI aktualisiert, garantiert selbst diese Maßnahme keine absolute Sicherheit.

Kaspersky hat ein Tool veröffentlicht mit dessen Hilfe man herausfinden kann, ob die eigene MAC-Adresse unter denjenigen ist, die von der Malware gesucht werden. Dasselbe erreicht man auch über eine von Kaspersky zur Verfügung gestellte Webseite.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at dennoch, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Beitrag auf Securelist (englisch)
https://securelist.com/operation-shadowhammer/89992/
Beitrag auf Motherboard (englisch)
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers
Statement von ASUS (englisch)
https://www.asus.com/News/hqfgVUyZ6uyAyJe1