ShadowHammer
Eine Million, das ist die geschätzte Zahl der betroffenen Nutzer weltweit, die von dem Schadcode „ShadowHammer“ betroffen sind. Wer einen Asus-Laptop besitzt, sollte jetzt genauer hinschauen, denn genau diese Nutzer sind von dem neuesten Sicherheitsvorfall betroffen.
Das „Asus Live Update Utility“ versorgt Asus Hardware regelmäßig mit Aktualisierungen. Ende Januar kam es bei den Aktualisierungsservern von Asus zu einer Kompromittierung und so konnte dort unbemerkt eine Malware hinterlegt werden. Eine Datei mit dem Namen „setup.exe“ bot sich als Update der eigentlichen Software an. In Wirklichkeit handelte es sich um eine echte, aber drei Jahre alte Upload-Datei, die mit einer Hintertüre versehen war. Es wird vermutet, dass diese Software in erster Linie zum Nachladen einer zweiten Schadsoftware dienen sollte. Dazu kam es aber anscheinend nicht.
Wie wurde der Vorfall entdeckt?
Zuerst einmal flog die Tarnung nicht auf, denn die betreffende Datei hatte genau die gleiche Größe wie das Original. Asus hatte den Schädling selbst auch nicht bemerkt, da die Kriminellen offenbar im Besitz von Asus-Zertifikaten waren. Experten von Kasperksy hatten dann festgestellt, dass diese schädliche Datei offiziell durch einen Asus Updateserver verteilt worden war und schlugen Alarm.
Tipp und Links
Nutzer der Update Software „Asus Live Update“ sollten prüfen, ob mindestens die Version 3.6.8 auf ihrem Gerät installiert ist. Erst ab dieser Version kann man sicher sein, dass diese nicht mit dem Schadcode versehen ist.
Prüfen, ob man betroffen ist: shadowhammer.kaspersky.com
Asus Live Update Version prüfen: asus.com/support
Tool zur Erkennung : operation-shadowhammer
Infos: Danny Loos, Föderale Kriminalpolizei Eupen, Screenshot
