Dank unserer relativ neuen Produkttechnologie, die Supply-Chain-Angriffe erkennt, konnten unsere Experten einen der bislang größten Supply-Chain-Vorfälle aufdecken. (Erinnern Sie sich noch an den CCleaner-Angriff, der damals unzählige Nutzer betraf? Die Attacke, von der wir in diesem Beitrag berichten, ist deutlich größer!) Ein Bedrohungsakteur konnte erfolgreich das Hilfsprogramm „Asus Live Update“, das Laptops und Desktops von ASUS mit BIOS, UEFI und Software-Updates versorgt, modifizieren, indem er dem Dienstprogramm eine Backdoor hinzufügte und diese dann über offizielle Kanäle an Benutzer verteilte.
Das trojanisierte Hilfsprogramm war mit einem legitimen Zertifikat signiert und wurde auf dem offiziellen ASUS-Update-Server gehostet; einer der Gründe, weshalb es lange Zeit unentdeckt bleiben konnte. Um keinen Verdacht zu erregen, stellten die Kriminellen darüber hinaus sicher, dass die Dateigröße des infizierten Dienstprogramms exakt der des ursprünglichen Programms entsprach.
Unseren Statistiken zufolge haben mehr als 57.000 Kaspersky-Lab-Nutzer das Backdoor-Dienstprogramm installiert; wir gehen allerdings davon aus, dass es insgesamt an 1 Million Nutzer verteilt werden konnte. Die für den Angriff verantwortlich Cyberkriminellen hatten jedoch nicht alle der über eine Million betroffenen Nutzer im Visier, sondern lediglich 600 spezifische MAC-Adressen, für die die Hashes in verschiedenen Versionen des Dienstprogramms verschlüsselt wurden.
Bei der Untersuchung des Angriffs konnten wir zudem feststellen, dass dieselben Techniken auch gegen die Software von drei anderen Anbietern verwendet wurden. Selbstverständlich haben wir ASUS sowie die anderen betroffenen Unternehmen über den Angriff informiert. Ab sofort erkennen und blockieren alle Kaspersky-Lab-Lösungen die trojanisierten Hilfsprogramme. Dennoch empfehlen wir Ihnen, das Hilfsprogramm ASUS Live Update zu aktualisieren, falls Sie es verwenden.
Wenn Sie mehr über einen der größten Supply-Chain-Angriffe erfahren möchten und sich für detaillierte technische Details, die Angriffsziele der Attacke sowie hilfreiche Tipps zum Schutz vor Supply-Chain-Angriffen interessieren, können wir Ihnen den Besuch unseres Security Analyst Summit 2019 wärmstens ans Herz legen. Die Sicherheitskonferenz öffnet am 8. April in Singapur ihre Pforten und erwartet Sie, unter anderem, mit einem interessanten und detaillierten Vortrag über den APT ShadowHammer. Es sind nur noch wenige Tickets verfügbar, also ist Eile geboten!
Alternativ können Sie einen Blick auf unseren gesamten Bericht, der parallel zur Sicherheitskonferenz auf securelist.com zur Verfügung gestellt wird, werfen.