Von Max Muth

Der taiwanesische Computerhersteller Asus ist offenbar Ziel eines komplexen und groß angelegten Hacker-Angriffs geworden. Einem Bericht der IT-Sicherheitsfirma Kaspersky zufolge haben es die Angreifer geschafft, einen offiziellen Update-Server der Firma zu kapern, sodass die attackierten Computer dachten, sie würden ein gewöhnliches Update für Asus-Geräte herunterladen. Stattdessen luden sie Malware auf ihre Rechner. Zuerst über den Fall berichtet hatte die US-Journalistin Kim Zetter für das US-Tech-Portal Motherboard.

Demnach lief die von Kaspersky Lab "ShadowHammer" getaufte Attacke zwischen Juni und November 2018. Entdeckt wurde sie von Experten des Unternehmens erst im Januar 2019. Dem Unternehmen zufolge waren 57 000 Kaspersky-Kunden betroffen, die IT-Sicherheitsfirma Symantec gab die Zahl ihrer betroffenen Kunden auf eine Anfrage von Motherboard hin mit 13 000 an. Kaspersky schätzt, dass insgesamt mehr als eine Million Nutzer betroffen gewesen sein könnten.

"Offizielles" Update mit signiertem Zertifikat

Sollte die Analyse von Kaspersky sich bestätigen, wäre der Angriff aus mehreren Gründen bemerkenswert: Zum einen haben es die Angreifer offenbar geschafft, ein Update mit Schadcode auf dem offiziellen Update Server einer großen Computerfirma zu installieren. Das Update war demnach zudem noch mit einem vertrauenswürdigen Zertifikat von Asus signiert. Ein weiteres ungewöhnliches Detail: Zwar wurden wohl mehrere Hunderttausend Rechner infiziert, eigentliches Ziel der Attacke waren laut Kaspersky jedoch nur einige wenige Hundert Geräte, deren MAC-Adresse (eine Art Geräte-ID) in dem Schadcode hinterlegt war. Wenn das Schadprogramm auf einem der gesuchten Geräte landete, dann lud das schädliche Update automatisch weitere Malware von einem Server nach, den die Hacker kontrollierten. Mit einem von Kaspersky gebauten Online-Tool können Asus-Kunden prüfen, ob auch ihre MAC-Adresse gezielt angegriffen wurde.

Sogenannte Lieferketten-Attacken auf die Cybersicherheit von Produkten und Services nehmen in den vergangenen Jahren zu. Dabei wird Schadcode schon bei der Produktion von Hardware oder Software eingebaut und muss nur noch aus der Ferne aktiviert werden. So warnen Politiker und Experten seit Monaten vor den möglichen Folgen, sollte das chinesische Unternehmen Huawei am Ausbau der deutschen 5G-Infrastruktur beteiligt werden. Die Gefahr, die hier beschworen wird, ist ebenfalls eine Lieferketten-Attacke, allerdings eine bei der Hardware-Produktion. Die Befürchtung der US-Regierung: Huawei könnte von Chinas Regierung dazu gebracht werden, Hintertüren in Bauteile westlicher Mobilfunk-Netze einzubauen - oder, so wie im vorliegenden Fall, Updates mit Schadcode aufzuspielen.

Das Schweizer Taschenmesser unter den Cyberattacken

Der ehemalige Leiter des Nationalen Cybersicherheitscenters der USA, Phil Reitinger, kommentierte die Kaspersky-Enthüllung auf Twitter so: "Einen Update-Server zu übernehmen liefert dir ein Schweizer Taschenmesser (insbesondere wenn du die Updates auch noch signieren kannst). Damit kann man breit angelegte oder gezielte Attacken ausführen, was immer man will."

Motherboard zufolge hat Asus dementiert, dass ihre Update-Server auf die beschriebene Art kompromittiert wurden. Die IT-Security-Firma Symantec, ein Konkurrent von Kaspersky, habe die Ergebnisse allerdings bestätigt. Wer hinter dem Angriff steckt, ist - wie so oft im Fall von Cyberattacken - nicht zu hundert Prozent klar. Der Chef der Forschungsabteilung von Kaspersky, Costin Raiu, weist allerdings auf Parallelen zu einer weiteren Lieferketten-Attacke hin:

Die "ShadowPad"-Attacke versteckte 2017 bösartige Software in einem von der Finanzindustrie genutzten Service. In einem späteren Gerichtsprozess legte sich Microsoft Raiu zufolge fest, die Attacke sei von der Hackergruppe "Barium" ausgeführt worden. Die wiederum wird im Allgemeinen China zugeordnet.