Schon wieder Asus: Hacker infizieren Rechner über Cloud-Speicherdienst WebStorage
Eine Hackergruppe machte sich die laxen Sicherheitsvorkehrungen eines Asus-Installers zunutze, um gezielt Rechner mit Trojanern zu infizieren.
(Bild: Shutterstock.com / Gorodenkoff)
Asus hat die Server seines Cloud-Speicher-Dienstes WebStorage vom Netz genommen, um eine Schwachstelle in dem System zu schließen, nachdem mehrere Nutzer über den dazugehörigen Installer mit Malware infiziert wurden. Angreifer hatten es – höchstwahrscheinlich per Man-in-the-Middle-Angriff – geschafft, den schlecht gesicherten Asus-Updater so zu manipulieren, dass dieser zusammen mit legitimen Software-Updates einen Trojaner installiert hatte.
Die Sicherheitsfirma Eset, die den Angriff entdeckte, geht davon aus, dass die Hackergruppe BlackTech Group hinter der Attacke steckt. Bei der Gruppe soll es sich um gut organisierte Kriminelle handeln, die es vor allem auf Geschäftsgeheimnisse ostasiatischer Firmen abgesehen haben. Die beim Angriff auf Asus eingesetzte Malware namens Plead wird laut Anti-Viren-Hersteller Trend Micro seit mindestens 2012 von der Hackergruppe verwendet.
Nach den vor Kurzem bekannt gewordenen Supply-Chain-Angriffen auf Asus, die unter dem Codenamen ShadowHammer geführt werden, hatte Eset nach dem Entdecken der Plead-Malware zuerst vermutet, die BlackTech-Hacker seien auf ähnliche Weise in die Server des WebStorage-Dienstes eingedrungen. Nach eingehender Untersuchung stellte sich dann aber heraus, dass die neuerlichen Angriffe auf den taiwanesischen Hardware-Hersteller aus dem öffentlichen Netz ausgeführt wurden. Asus hatte seine WebStorage-Software nur ungenügend gegen Man-in-the-Middle-Angriffe abgesichert: Die Verbindung des Installers wurde unverschlüsselt über HTTP abgewickelt und zusätzlich dazu wurde die Echtheit und Unversehrtheit der übermittelten Software-Pakete nicht geprüft. Das hatte zur Folge, dass die Hacker Updates auf dem Weg von den Asus-Servern zum Anwender abfangen und manipulieren konnten.
Taiwanesischer Regierungsserver verteilte Schadcode
Die Hacker versahen eine Datei namens "ASUS Webstorage Upate.exe" (der Schreibfehler geht auf die Angreifer zurück) mit einer Hintertür, über die sie ihren Trojaner installierten. Diese Datei wurde einem legitimen Asus-Update-Paket hinzugefügt und auf Grund der mangelnden Integritätsprüfung installierte der Asus-signierte Prozess AsusWSPanel.exe die bösartige Datei. Laut Eset wurde diese Malware auf knapp 20 Rechnern installiert – anscheinend weil die angegriffenen Firmen anscheinend verwundbare Router-Modelle einer bisher ungenannten Firma im Einsatz hatten, die sich aus dem Internet über ein offenes Web-Interface kapern ließen. Das verschaffte den Hackern ihre Man-in-the-Middle-Position im Netz der angegriffenen Firma. Sie nisteten sich auf diesem Brückenkopf ein und warteten, bis AsusWSPanel.exe auf dem Gerät eines Opfers die Asus-Server kontaktierte, und schlugen zu. Diese Verbindung bogen sie auf gekaperte Server einer taiwanesischen Regierungs-Website um, der unter ihrer Kontrolle stand, und luden ihren Trojaner so auf das System des Opfers.
Bisher gibt es keine Hinweise darauf, dass die Server von Asus von der Gruppe kompromittiert wurden. Allerdings regt die sträfliche Vernachlässigung auch der einfachsten Sicherheitsvorkehrungen beim Update-Mechanismus des WebStorage-Dienstes zum Nachdenken an. Asus hat das Problem mittlerweile nach eigenen Angaben aus der Welt geschafft. Wie die Firma allerdings auf die Idee kam, einen mit Admin-Rechten und Asus-Zertifikat ausgestatteten Windows-Dienst ungeprüfte Software über eine ungesicherte Internetverbindung entgegennehmen und installieren zu lassen, ist unbegreiflich. Bei der aktuellen Schlagzahl von Hackerangriffen auf Firmen ist es eigentlich nur eine Frage der Zeit, bis eine solch eklatante Vernachlässigung der grundlegendsten Sicherheitsvorkehrungen von irgendjemandem ausgenutzt wird.
Besonders nach dem Bekanntwerden des Supply-Chain-Angriffs, bei dem schätzungsweise mindestens eine Million Asus-Nutzer angegriffen wurden, hätte man erwartet, dass Asus mit Hochdruck an der Absicherung der eigenen Infrastruktur arbeitet und solche Defizite schnellstmöglich abstellt. Eine Anfrage von heise online zu diesem neuerlichen Angriff ließ die Firma bisher allerdings unbeantwortet. (fab)
