Asus hat heute (26. März) endlich eine Erklärung zum Hacking seiner eigenen Firmware-Update-Server abgegeben, mehr als 24 Stunden nachdem Vice Motherboard und Kaspersky Lab das Problem öffentlich bekannt gegeben hatten und fast zwei Monate nachdem Kaspersky Lab Asus benachrichtigt hatte, dass seine Server gehackt wurden .
Bildnachweis: Roman Arbuzov/Shutterstock
„Eine kleine Anzahl von Geräten wurde durch einen ausgeklügelten Angriff auf unsere Live-Update-Server mit Schadcode implantiert, um eine sehr kleine und spezifische Benutzergruppe anzugreifen“, heißt es in einer Unternehmenserklärung. "Der Kundendienst von Asus hat sich an betroffene Benutzer gewandt und Hilfestellung geleistet, um sicherzustellen, dass die Sicherheitsrisiken beseitigt werden."
Mindestens 70.000 Asus-Geräte wurden mit der beschädigten Asus-Firmware infiziert, wie von Kaspersky Lab und Symantec dokumentiert, die die Zahlen von PCs erhalten haben, auf denen die eigene Antivirensoftware dieser Unternehmen ausgeführt wird. Forscher von Kaspersky Lab schätzen, dass weltweit eine Million Asus-Computer infiziert sein könnten, was wohl keine geringe Zahl ist.
Asus sagte in seiner Pressemitteilung, dass es Schritte unternommen habe, um die Sicherheit des Update-Prozesses zu verbessern, aber es wurde nicht erwähnt, wie es den Angreifern – vermutlich eine chinesischsprachige Hacker-Crew mit Verbindungen zur chinesischen Regierung – gelang in die Server von Asus einbrechen und digitale Signaturzertifikate von Asus stehlen, die die Malware als legitim bestätigten.
„Asus hat auch einen Fix in die neueste Version (Version 3.6.8) der Live Update-Software implementiert, mehrere Sicherheitsüberprüfungsmechanismen eingeführt, um böswillige Manipulationen in Form von Software-Updates oder anderen Mitteln zu verhindern, und ein verbessertes End- Verschlüsselungsmechanismus", heißt es in der Pressemitteilung. "Gleichzeitig haben wir auch unsere Server-to-End-User-Softwarearchitektur aktualisiert und gestärkt, um ähnliche Angriffe in Zukunft zu verhindern."
Zwischen Juni und November 2022-2023 wurde die Malware direkt von den Asus-eigenen Firmware-Update-Diensten an Asus-Computer weltweit geliefert. Die Malware erstellt eine "Hintertür", die es ermöglicht, weitere Malware ohne Benutzerautorisierung herunterzuladen und zu installieren.
Die Malware ruht jedoch auf fast allen Systemen und wird nur auf speziell anvisierten Einzel-PCs aktiviert, deren MAC-Adressen – eindeutige Kennungen für jeden Netzwerkport – mit denen auf fest codierten Listen übereinstimmen, die direkt in die Malware integriert sind.
Auf den Hitlisten identifizierten Kaspersky-Forscher etwa 600 MAC-Adressen, was tatsächlich eine "kleine Benutzergruppe" ist. Die Details sind jedoch noch unklar, da wir nicht wissen, auf wen die Malware genau zielt oder wie die Angreifer in die Update-Server von Asus gelangt sind.
Asus hat auch ein "Sicherheitsdiagnosetool zur Überprüfung auf betroffene Systeme" veröffentlicht, das unter https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip heruntergeladen werden kann.
Dies ergänzt ein Kaspersky-Lab-Tool, das das Vorhandensein der Malware überprüft, und eine Kaspersky-Lab-Webseite, auf der Sie überprüfen können, ob sich eine der Netzwerk-MAC-Adressen Ihres Asus-PCs auf der Trefferliste der Malware befindet.
Kaspersky-Forscher sagten, sie hätten Asus am 31. Januar über das Problem informiert, sagten jedoch Kim Zetter von Motherboard, dass Asus zunächst bestritten habe, dass seine Server gehackt worden seien.