{"id":207418,"date":"2018-08-07T11:31:34","date_gmt":"2018-08-07T09:31:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=207418"},"modified":"2022-08-12T23:16:41","modified_gmt":"2022-08-12T21:16:41","slug":"wannacry-hat-bei-chiphersteller-tscm-zugeschlagen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/07\/wannacry-hat-bei-chiphersteller-tscm-zugeschlagen\/","title":{"rendered":"WannaCry hat bei Chiphersteller TSMC zugeschlagen …"},"content":{"rendered":"

[English<\/a>]Der Sch\u00e4dling WannaCry aus 2017 hat am letzten Freitag beim Chip-Hersteller TSMC zugeschlagen und diverse Fertigungslinien still gelegt. Hier einige Informationen zum Thema.<\/p>\n

<\/p>\n

Und ich schreib noch: Erinnert mich an WannaCry<\/h2>\n

\"\"Der Hersteller TSMC<\/a> (Taiwan Semiconductor Manufacturing Company Limited) ist in Taiwan beheimatet und fertigt Computerchips f\u00fcr Apple, AMD, Nvidia, Qualcomm, Broadcom und weitere Industriekunden. Nach Pressemeldungen von Bloomberg und Reuters wurden die Produktionsanlagen des taiwanesischen Chip-Herstellers TSMC am Freitag (3.8.2018) durch ein Virus befallen.<\/p>\n

Durch das Virus wurden Produktionsanlagen des Herstellers beeintr\u00e4chtigt (wurden wohl abgeschaltet, um die Infektion zu beheben). Das Problem sollte erst bis zum Sonntag und dann bis zum Montag behoben sein. Ich berichtete im Blog-Beitrag Virus bef\u00e4llt Fabriken von iPhone Chip-Hersteller TSMC<\/a> und schrieb: Das erinnert mich an WannaCry, was aber halb als Scherz gedacht war \u2013 aber mit so was sollte man nicht scherzen, denn es war WannaCry.<\/p>\n

Was war nochmal WannaCry?<\/h2>\n

Der Erpressungstrojaner WannaCry infizierte seit dem 12. Mai 2017 weltweit tausende Computer (siehe Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>). Verteilt wurde WannaCry urspr\u00fcnglich wohl \u00fcber Phishing-Mails die den Trojaner in einer ZIP-Datei enthielten. Der Trojaner verschl\u00fcsselt die Dateien auf dem befallenen Windows-Rechner und fordert L\u00f6segeld.<\/p>\n

\"WannaCry-Meldung\"
\n(Quelle: MalwareBytes)<\/p>\n

Der Trojaner konnte sich rasend schnell in Netzwerken verbreiten und andere Rechner befallen, weil er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens \u201eThe Shadow Brokers\" (Codename \u201eETERNALBLUE\"). Das NSA-Tool verschafft den Angreifern \u00fcber einen Exploit der SMB & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff.<\/p>\n

WannaCry nutzt dabei konkret die durch Microsoft am 14. M\u00e4rz 2017 gepatchte Sicherheitsl\u00fccke MS17-010 Security Update for Microsoft Windows SMB Server (4013389)<\/a> zur Verbreitung innerhalb eines Netzwerks.\u00a0 Nur durch Zufall fand ein Sicherheitsforscher einen Killswitch, um die Verbreitung des Erpressungstrojaners per Internet zu stoppen. Ich hatte ich ja einige Artikel rund um WannaCry hier im Blog (siehe Linkliste).<\/p>\n

Microsoft hat im Nachgang Sicherheitsupdates f\u00fcr Windows XP bis Windows 10 f\u00fcr die betreffenden Schwachstellen im SMBv1-Protokoll ver\u00f6ffentlicht. Eigentlich dachte ich, dass sich das Thema WannaCry damit erledigt h\u00e4tte.<\/p>\n

H\u00e4tte, h\u00e4tte Fahrradkette. In der Zeit seit dem ersten Auftauchen von WannaCry kam es in verschiedenen Firmen (Boing, Daimler etc.) immer wieder zu WannaCry-Infektionen \u2013 siehe auch Linkliste am Artikelende.<\/p>\n

WannaCry hat bei TSMC zugeschlagen<\/h2>\n

heise.de berichtet nun in diesem Artikel<\/a>, dass TSMC Details zum Virenangriff bekannt gegeben habe. Die Systeme waren in der Tat mit dem Trojaner WannaCry befallen. Mein erster Gedanke war: Da laufen alte Windows XP-Rechner in der Fertigung, und jemand hat die ins Netzwerk eingebunden. Aber so scheint es nicht gewesen zu sein.<\/p>\n

Das Problem trat, laut TSMC-Vorstandschef C.C. Wei, am Freitag bei der Installation neuer Software auf neue Firmencomputer auf. Diese wurden wohl ohne weitere Virenpr\u00fcfung mit dem TSC-Intranet verbunden. Weiterhin waren die verf\u00fcgbaren Updates gegen die SMBv1-Schwachstellen ungepatcht.<\/p>\n

Laut Herrn Wei handelt es sich bei den infizierten Rechnern um Windows 7-Maschinen, die in diversen Chip-Fabriken von TSMC in Taiwan eingesetzt werden. Hat mir erst einmal die Augenbrauen hochgezogen. Auf elektroniknet.de<\/a> findet sich noch ein interessantes Zitat zum Fall:<\/p>\n

Die WannaCry-Variante, die TSMC infiziert hat, hatte sich offenbar schon auf einer Maschine befunden, bevor der Hersteller sie an TSMC ausgeliefert hat. Als die Verantwortlichen bei TSMC die neue Maschine in die Produktionsumgebung integrierten, blieb WannaCry unerkannt, so dass sich der Wurm ausbreiten konnte.<\/p><\/blockquote>\n

Sprich: Beim Hersteller (wohl aus Asien, vermute ich mal) war eine bereits infizierte Windows 7-Software installiert. Normalerweise werden solche Rechner vor der Inbetriebnahme einer Sicherheits\u00fcberpr\u00fcfung mit Virenscans unterzogen. Diese Vorschriften scheinen im aktuellen Fall umgangen worden zu sein. Im Verbund mit ungepatchten Systemen konnte WannaCry sich dann im Netzwerk ausbreiten. L\u00e4sst nur den Schluss zu, dass da einiges (nicht nur beim Lieferanten der Maschine) im Argen liegt.<\/p>\n

Mittlerweise behauptet TSMC, dass man das Problem unter Kontrolle habe. Es wird momentan bereits bef\u00fcrchtet, dass die Infektion Sch\u00e4den von 150 Millionen bis 170 Millionen Dollar haben k\u00f6nnte. Ob die Produktion der neuen iPhone-Modelle dadurch beeinflusst wird (deren Chips kommen teilweise von TSMC), ist derzeit unklar.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
\nWannaCry: Die Lage am Montag<\/a>
\nWannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a>
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCry: Hinweise auf Lazarus-Gruppe<\/a>
\nWannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a>
\nWannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor<\/a>
\nWannaCry: Analysen, Windows 10-Port, Daten-Recovery \u2026<\/a>
\nSicherheitsinfos: WannaCry, Locky, Hacks und mehr<\/a>
\nWannycry: WCry-Decryptor f\u00fcr Windows XP<\/a>
\nWannaCry Clone Ransomware bef\u00e4llt Systeme in der Ukraine<\/a>
\nWannaCry-Infektionen bei Daimler?<\/a>
\nWannaCry: Microsoft beschuldigt Nordkorea<\/a>
\nVermutlich WannaCry Ransomeware-Ausbruch bei Boeing<\/a>
\nWannaCry: Die Gefahr ist noch nicht gebannt<\/a>
\nWannaCry Wiederkehr? Von wegen, Betrugs-Mail<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Sch\u00e4dling WannaCry aus 2017 hat am letzten Freitag beim Chip-Hersteller TSMC zugeschlagen und diverse Fertigungslinien still gelegt. Hier einige Informationen zum Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328,3740,6177,4294],"class_list":["post-207418","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit","tag-virus","tag-wannacry","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=207418"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207418\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=207418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=207418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=207418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}