Leichtsinnige ASUS-Mitarbeiter könnten ShadowHammer-Angriff begünstigt haben

Ein Sicherheitsforscher hat drei Fälle dokumentiert, in denen Mitarbeiter des taiwanischen Hardware-Herstellers ASUS Zugangsdaten des Unternehmens im Internet veröffentlicht haben. In einem Fall sollen die Daten mindestens ein Jahr lang online abrufbar gewesen sein. Und zwar ausgerechnet in jenem Zeitraum, in dem die am vergangenen Montag von Kapersky Lab öffentlich gemachte "Operation ShadowHammer" stattfand.

Der Anti-Viren-Softwarehersteller hatte auf den Rechnern seiner Kunden Schadcode in Gestalt manipulierter ASUS-Updates entdeckt. Die lieferte ASUS unwissentlich über einen seiner eigenen, zuvor offenbar gehackten Server an hunderttausende ASUS-Notebook-Besitzer aus.

Der Forscher, der bei Twitter den Namen SchizoDuckie verwendet, berichtete gegenüber der IT-News-Webseite TechCrunch, dass er ASUS am 1. Februar 2019 auf die öffentlich abrufbaren Zugangsdaten aufmerksam gemacht habe – also erst einen Tag, nachdem Kaspersky Lab ASUS seinerseits auf den bereits erfolgten ShadowHammer-Angriff aufmerksam gemacht hatte.

Ob ein Zusammenhang zwischen den Zugangsdaten und den Servereinbrüchen bei ASUS besteht ist unbekannt, kann aber nicht ausgeschlossen werden.

E-Mail-Credentials in GitHub-Repository entdeckt

Den wohl gravierendsten Datenfund machte SchizoDuckie im GitHub-Repository eines ASUS-Engineers. Gegenüber TechCrunch berichtete der Forscher, dass darin mindestens ein Jahr lang die Zugangsdaten für ein E-Mail-Postfach des Unternehmens lagen. In dem seien täglich automatisiert aktuelle ASUS-Software-Builds gelandet. Um welche Software es sich dabei handelte, geht aus dem TechCrunch-Artikel nicht hervor.

Dass die Drahtzieher hinter ShadowHammer aus diesem Postfach die ASUS-Software bezogen, in die sie anschließend ihren eigenen Schadcode injizierten, ist eher unwahrscheinlich. Denn Kaspersky Lab hatte in seinem Blogeintrag berichtet, dass es sich dabei um bereits drei Jahre alte ASUS-Executables gehandelt habe.

Interessanter scheint im Zusammenhang mit Shadowhammer, dass SchizoDuckie im Postfach auch E-Mails mit Angaben zu internen Netzwerkpfaden entdeckte, die zu Treibern und anderen Dateien führten. Darüber hinaus betonte der Forscher gegenüber TechCrunch, wie einfach es für Angreifer gewesen wäre, über den Account Spear-Phishing-Attacken auf Unternehmensmitarbeiter durchzuführen. Er belegte seine Funde laut TechCrunch durchweg mit Screenshots.

ASUS zeigt wenig Einsicht

In zwei weiteren Fällen, zu denen der TechCrunch-Artikel allerdings weniger Details hergibt, will der Sicherheitsforscher ebenfalls ASUS-Zugangdaten in GitHub-Repositories von Mitarbeitern entdeckt haben.

Ein Tag, nachdem ASUS über SchizoDuckies Funde informiert worden war, sollen sämtliche Zugangsdaten in den Repositories gelöscht worden sein. Die Zugangsdaten zu dem E-Mail-Account, auf den der Forscher Zugriff hatte, funktionierten nach der Benachrichtigung noch sechs Tage lang.

Ein Sprecher von ASUS reagierte gegenüber TechCrunch – gerade vor dem Hintergrund auf die jüngsten Ereignisse – erstaunlich undankbar und skeptisch auf SchizoDuckies Entdeckungen. Er sagte laut TechCrunch sinngemäß, das Unternehmen sähe sich nicht in der Lage, die Richtigkeit der Behauptungen zu verifizieren. Und schob dann noch hinterher, dass ASUS derzeit alle Systeme überprüfe, um sämtliche bekannten Risiken zu entfernen und um sicherzustellen, dass es keine Datenlecks gäbe.

Weitere Infos zum Thema:

• ASUS veröffentlicht neue Live-Update-Version nach ShadowHammer-Kompromittierung
• ShadowHammer: ASUS verteilte offenbar Schadcode an über 1 Million Nutzer
  

(ovw)