Hunderttausende Asus-Computer mit Virus infiziert Die Schadsoftware wurde offenbar über die automatische Update-Funktion ausgeliefert – eine zunehmend beliebte Angriffsmethode. Matthias Schüssler

Der «Schattenhammer» hat bei Asus zugeschlagen. Kaspersky

Asus ist Opfer eines Angriffs geworden. Angreifer haben es offenbar geschafft, in die Server einzubrechen und Schadsoftware in Kundendownloads einzuschleusen. Über die automatische Update-Funktion wurde diese Software auf Hunderttausende Computer verteilt; zwei Prozent der Opfer stammen aus der Schweiz. Die Kriminellen konnten die Software sogar digital signieren, um sie als echtes Update zu kennzeichnen.

Entdeckt wurde dieser Angriff – der inzwischen den martialischen Namen «Shadow Hammer» (Schattenhammer) trägt – vom Sicherheitsunternehmen Kaspersky. In einem Blogpost wird er im Detail beschrieben. Zwischen Juni und November 2018 fand der Angriff statt und wurde erst im Januar 2019 entdeckt. Kaspersky hat daraufhin Kontakt zu Asus aufgenommen, um den Angriff zu stoppen.

Gemäss Kasperksy sitzen zwei Prozent der Opfer von «Shadowhammer» in der Schweiz.

Trotz des grossangelegten Angriffs hatten es die Hacker offenbar nur auf wenige Opfer abgesehen. Im Code der Schadsoftware haben die Sicherheitsforscher 600 Adressen von Netzwerkadaptern gefunden. Nur wenn die Schadsoftware eine passende Adresse gefunden hat, ist sie aktiv geworden, um weitere Schadsoftware aus dem Netz zu laden. Das erinnert an einen Fall vor zwei Jahren, wo die populäre Windows-Software CCleaner infiziert und über die automatische Update-Funktion ausgeliefert worden war. Auch hier kam ans Licht, dass es nur um 40 Computer in 12 Unternehmen ging (siehe Auch Hacker arbeiten von neun bis fünf).

Computer in Tschernobyl ausgefallen

Bei einem anderen Fall wurde das Update einer Buchhaltungssoftware mit dem Trojaner «NotPetya» infiziert. Er hat 2017 für einen riesigen Schaden gesorgt. Betroffen waren damals grosse und kleine Unternehmen, und selbst in der AKW-Ruine von Tschernobyl sind damals Windows-Computer zur Strahlenmessung ausgefallen.

Kaspersky weist auf eine andere Gefahr hin, die im Zunehmen begriffen sei: Die sogenannten supply-chain attacks, also Angriffe via Lieferkette: Die Software wird beim Lieferanten eingeschleust und gelangt über die Hersteller in die Endprodukte. Das kann über Updates, aber auch schon während der Herstellung passieren. Die USA haben letztes Jahr eine Taskforce gegründet, die Gegenmassnahmen ergreifen soll. Das Online-Magazin «Motherboard» zitiert einen hochrangigen Mitarbeiter des US-Auslandsgeheimdiensts NSA, der sagt, diese neue Angriffsform stamme aus der Kategorie der «Big Deals»: Da haben Leute sorgfältig geplant. Trotzdem sei das die Holzhammermethode, wenn Tausende von Leuten betroffen seien, obwohl es nur um ein paar wenige Opfer gehe.

Sind Sie betroffen?

Woher der Angriff kam und wer im Visier stand, hat Kaspersky nicht herausgefunden oder nicht kommuniziert. Da die Schadsoftware es nur auf wenige Computer abgesehen hat, sind die allermeisten Besitzer von Asus-PC und Laptops fein raus, selbst wenn die Software via Update aufs Gerät gelangt sein sollte. Kaspersky stellt ein Programm bereit, das überprüft, ob die Software vorhanden ist und ob das Gerät eine der Netzwerkadressen aufweist, auf die der Angriff abgezielt hat. Download der Exe-Datei unter kas.pr/shadowhammer.

Update

Inzwischen hat auch Asus Informationen zum Fall veröffentlicht. Es gibt eine ausführliche Anleitung, wie Sie das Live Update-Programm auf den neuesten, sicheren Stand bringen. Und Asus stellt ein eigenes Tool zur Verfügung, mit dem sich überprüfen lässt, ob die Schadsoftware vorhanden ist.