Asus WebStorage: Hacker nutzen unsichere Verbindung für Angriff auf Nutzer
Erneut haben Hacker einen Dienst von Asus genutzt, um Malware auf Kunden-PCs zu installieren, die Zugriff auf die PCs ermöglicht. Dieses Mal war die WebStorage-Software von Asus Ziel des Angriffs. Sicherheitsforscher von ESET sind den Angriffen auf die Spur gekommen, untersuchen die Angriffe derzeit aber noch.
ESET vermutet, dass Hacker der BlackTech Group hinter den Angriffen stecken. Für den Zugriff haben sie Man-in-the-Middle-Angriffe auf Router eingesetzt und dabei unsichere HTTP-Verbindungen zwischen den Kunden und den Servern von Asus im Zusammenspiel mit unvollständigen Code-Signierungen zur Validierung der Echtheit empfangener Dateien vor der Ausführung ausgenutzt. Hierfür nutzten sie die unsichere Dateiübertragung zwischen den Kunden und den Servern von Asus WebStorage. Asus WebStorage ist ein Cloud-Speicher, auf den Kunden eigene Dateien hochladen und anschließend online abrufen können. Durch das Zwischenschalten in die Verbindung, konnte die Malware direkt an die PCs der Nutzer ausgeliefert werden und wurde dort, mangels ausreichender Prüfung, als Update der Asus-Software direkt ausgeführt.
Die eingesetzte Malware Plead wird der BlackTech Group zugesprochen, die üblicherweise Regierungsorganisationen und Unternehmen in Asien angreift. Die Backdoor wurde in einer Datei namens Asus Webstorage Upate.exe versteckt. Die Infektion kam dann durch die Datei AsusWSPanel.exe zustande, ein legitimer Windows-Prozess von Asus' WebStorage-Software und von Asus signiert.
Angriffsart nicht sicher geklärt
Da die Malware nicht direkt in die Software von Asus integriert wurde, sondern über eigene Dateien eingespielt wurde und es keine Anzeichen gibt, dass die Server von Asus als Kontroll-Server genutzt wurden oder selbst Malware ausliefern, gehen die Forscher nicht davon aus, dass Asus wie beim Angriff auf das Asus Live Update Ziel eines Supply-Chain-Angriffs wurde. Ganz ausschließen, dass die Angreifer gezielt Dateien auf den Servern von Asus manipulieren und es doch keine Man-in-the-Middle-Attacke ist, könne ESET aber noch nicht.
Zahl der Betroffenen noch völlig offen
Wie viele Nutzer von den Angriffen betroffen sind, kann derzeit nicht sicher gesagt werden. ESET verzeichnete bei eigenen 20 Unternehmenskunden, die Software von ESET zum Schutz einsetzen, einen entsprechenden Angriff. Da dies aber nur eigene Unternehmenskunden erfasst, liegt die tatsächliche Zahl der Trojaner-Installationen voraussichtlich deutlich höher.
Reaktion von Asus bisher verhalten
Asus spricht in einem Blogeintrag nur davon, dass man nach Sicherheitsbedenken eines Kunden die Update-Server zwischenzeitlich abgeschaltet und zusätzliche Sicherheitsvorkehrungen getroffen habe. Worin diese bestehen und ob die Verbindung nun nicht mehr unverschlüsselt über HTTP erfolgt, ist allerdings noch nicht geklärt. Asus empfiehlt Kunden lediglich einen Antivirus-Scan auszuführen.
Sinnvoller erscheint es, zusätzlich bis zur abschließenden Klärung Asus WebStorage auch nicht mehr einzusetzen und alle laufenden Prozesse der Software zu stoppen.
Zweite schwere Sicherheitslücke nach Asus Live Update
Im März wurde bereits eine schwere Sicherheitslücke in den Systemen von Asus bekannt, wobei die eigenen Update-Server zur Verteilung von Malware an Computer genutzt wurden. Mehr als 1 Million PCs wurden damals mit der Malware versorgt, aktiviert wurde sie jedoch gezielt nur auf rund 600 PCs. Im Nachgang wurde bekannt, dass Asus-Mitarbeiter selbst Passwörter im Klartext auf GitHub gespeichert hatten, die für die Angriffe genutzt worden sein könnten.
Trotz dieser Vorkommnisse hat Asus für den WebStorage-Dienst weiterhin eine unverschlüsselte, unsichere Übertragung zwischen den eigenen Servern und den Kunden eingesetzt und keine ausreichende Prüfung der übertragenen Dateien vorgenommen, bevor diese beim Nutzer als Update getarnt ausgeführt werden.