Zehntausende Kunden betroffen Asus verbreitete unwissentlich Schadsoftware

Über einen gehackten Updateserver konnten Unbekannte monatelang eine Hintertür in Asus-Geräte pflanzen. Kaspersky Lab hat die Infektionsmethode entdeckt, Asus selbst hat sie mittlerweile bestätigt.
Asus-Laptop

Asus-Laptop

Foto: imago images/ ZUMA Press

Der Computerhersteller Asus hat einen Bericht bestätigt, laut dem mindestens mehrere Zehntausend seiner Kunden über den offiziellen Updateserver eine Hintertür zu ihren Geräten eingespielt bekommen haben. Entdeckt  hatte den Vorgang das russische IT-Sicherheitsunternehmen Kaspersky Lab, zuerst darüber berichtet hatte "Motherboard"  am Montag.

Unbekannte haben demzufolge den Asus-Server gehackt, eine getarnte Schadsoftware darauf hinterlegt und mit einem legitimen Asus-Zertifikat signiert. Über die "Asus Live Update Utility" gelangte die Schadsoftware dann zwischen Juni und November 2018 auf die Rechner der Kunden, wo sie aufgrund des Zertifikats als legitimes Update akzeptiert wurde und weitere Malware nachladen konnte.

Die Update Utility ist auf vielen Asus-Geräten vorinstalliert und soll diese automatisch mit bestimmten Aktualisierungen für System-Software versorgen.

Angriff war eigentlich gezielt

Das Nachladen der zweiten Stufe sollte offenbar nur passieren, wenn das befallene Gerät auf einer in der Ausgangsmalware hinterlegten Liste von Computern (beziehungsweise MAC-Adressen) auftauchte. Der Angriff war laut Kaspersky Lab demnach auf rund 600 bestimmte Geräte abgestimmt und damit eigentlich gezielt, trotz der letztlichen Streubreite. Und der Server, über den die weitere Malware kommen sollte, ist seit Monaten offline. Die konkrete Gefahr besteht also nicht weiter.

Kaspersky teilte mit, im Januar 2019 auf den Vorfall aufmerksam geworden zu sein und wenige Tage später Asus informiert zu haben. Der Hersteller habe aber zunächst behauptet, nicht kompromittiert zu sein, trotz eindeutiger gegenteiliger Belege und obwohl das US-Unternehmen Symantec die Untersuchungsergebnisse von Kaspersky Lab bestätigen konnte. Auf Fragen von "Motherboard" antwortete das taiwanische Unternehmen nicht, Kunden wurden nicht sofort über den Vorfall informiert.

Erst am Dienstag verbreitete Asus eine kurze Pressemitteilung , in der es von einer "kleinen Zahl betroffener Geräte" spricht, aber keine näheren Angaben zur Art der verbreiteten Schadsoftware macht. Auf einem in der Pressemitteilung verlinkten Tool können Asus-Kunden prüfen, ob sie selbst betroffen sind. Sie sollten außerdem sicherstellen, dass sie die aktuelle Version der Update Utility (3.6.8) nutzen. Kaspersky Lab hat eine Website erstellt, auf der Asus-Nutzer prüfen können, ob sie zu den 600 besonders gefährdeten Kunden gehören.

Die Infektionsmethode erinnert laut Kaspersky Lab an den Fall CCleaner von 2017. Damals waren mehr als zwei Millionen Nutzer der Wartungssoftware über ein offizielles Update mit einer Schadsoftware infiziert worden. Diese war in der Lage, weitere Malware nachzuladen. Betroffen war unter anderem auch Asus. Möglicherweise seien deshalb auch die Täter dieselben wie im aktuellen Fall.

pbe