Der taiwanesische Computerhersteller ASUS kommt nicht zur Ruhe. Kürzlich hat ein neuer Hack per Man-in-the-middle-Angriff ASUS-Kunden getroffen, die sich über den Cloud Speicherdienst WebStorage Malware eingefangen haben.
Anzeige
Sicherheitsanbieter ESET berichtet hier über den neuen Fall, der sich kürzlich ereignet hat. Bereits im Juli 2018 stellten die Sicherheitsforscher fest, dass die Backdoor Plead mit einem Code-Signing-Zertifikat digital signiert wurde, das auf die D-Link Corporation ausgestellt wurde. Die Plead-Malware wird seit mindestens 2012 eingesetzt und implementiert eine Hintertür, die laut Trend Micro von der BlackTech-Hackergruppe für gezielte Angriffe genutzt wird. Die BlackTech-Hackergruppe ist vor allem auf Cyberspionage in Asien spezialisiert.
Angriff auf ASUS Cloud Speicherdienst WebStorage
Kürzlich tauchte der Trojaner Plead in Verbindung mit dem ASUS Cloud Speicherdienst WebStorage auf. Die ESET-Sicherheitsforscher bekamen dies Ende April 2019 mit, weil ESET-Telemetriedaten mehrere Versuche, die Plead-Malware auf ungewöhnliche Weise einzusetzen, meldeten. Die Plead-Backdoor wurde plötzlich von einem legitimen Prozess namens AsusWSPanel.exe erstellt und ausgeführt.
Dieser Prozess AsusWSPanel.exe gehört zum Windows-Client für einen Cloud-Speicherdienst namens ASUS WebStorage. Die ausführbare Datei AsusWSPanel.exe wurde von der ASUS Cloud Corporation digital signiert.
Alle beobachteten Plead-Samples hatten den Dateinamen Asus Webstorage Upate.exe – der Dateinamen scheint einen Schreibfehler des Programmierers zu enthalten (das d fehlt in Update). ESET fand schnell heraus, dass das Modul AsusWSPanel.exe von ASUS WebStorage während eines legitimen Software-Updates Dateien mit solchen Dateinamen erstellen kann.
Anzeige
Aber wie kann es dann sein, dass ein legitimer Prozess für ASUS WebStorage-Updates plötzlich Malware mit einer Hintertür einschleust? Dafür gibt es eigentlich nur zwei logische Erklärungen (wenn man ausschließt, dass der Hersteller was im Schilde führt):
- Es gab einen erfolgreichen Supply Chain-Angriff auf die Software-Entwicklungskette und die Quellcodes bzw. die Binärdateien wurden heimlich beim Hersteller infiziert. Das war ja beim ShadowHammer-Angriff auf ASUS kürzlich der Fall.
- Ein Man-in-the-middle-Angriff (MitM), bei dem legitime Downloads durch die Angreifer durch eine infizierte Variante ausgetauscht wurden.
Genau das zweite erwähnte Szenario eines MitM-Angriffs hat wohl im aktuellen ASUS-Fall stattgefunden. Die ASUS WebStorage-Software fordert über HTTP ein Update vom Server update.asuswebstorage.com an. Dieser liefert eine Antwort im XML-Format zurück. Die wichtigsten Elemente in der XML-Antwort sind eine Guid und ein Link. Das Guid-Element enthält die aktuell verfügbare Version des Updates, das Link-Element die für das Update verwendete Download-URL. Der Aktualisierungsprozess ist einfach: Die Software prüft, ob die installierte Version älter ist als die neueste Version; wenn ja, fordert sie eine Binärdatei über die angegebene URL an.
Das macht es für Angreifer leicht, diesen Update-Mechanismus auszuhebeln. Gelingt es über einen Man-in-the-middle-Angriff die XML-Datei abzufangen, lassen sich die beiden XML-Elemente austauschen. Genau dieses Szenario wurde von den ESET-Forschern beobachtet.
Gekaperter Router bezieht infizierte Updates
Bei den angegriffenen Zielsystemen wurden wohl (ungenannte) verwundbare Router verwendet, die die Hacker über eine nicht abgesicherte Web-Schnittstelle unter ihre Kontrolle brachten. Sobald dann ein Update vom ASUS-Client AsusWSPanel.exe per HTTP angestoßen wurde, finden die Betrüger die XML-Antwort ab und tauschten die XML-Elemente aus.
Damit gelang es, die mit der Hintertür infizierte Datei ASUS Webstorage Upate.exe von einem gekaperte Server einer taiwanesischen Regierungs-Website herunterzuladen. Da ASUS offenbar keine Integritätsprüfung der Updates vornahm, konnte die Malware installiert werden. Nur installierte Sicherheitssoftware hatte die Chance, den Angriff zu erkennen. Laut ESET wurde die Schadsoftware wohl auf ca. 20 Rechnern verteilt. Der Vorgang zeigt, dass ASUS seine Sicherheitsstrukturen nicht im Griff hat, und dies nach dem ShadowHammer-Angriff. Neben dem ESET-Beitrag (Englisch) findet sich ein deutschsprachiger Beitrag bei heise.
Anzeige
