{"id":18832,"date":"2019-03-25T15:38:32","date_gmt":"2019-03-25T13:38:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18832"},"modified":"2020-02-26T18:46:23","modified_gmt":"2020-02-26T16:46:23","slug":"shadow-hammer-teaser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/shadow-hammer-teaser\/18832\/","title":{"rendered":"ShadowHammer: Sch\u00e4dliche Updates f\u00fcr Laptops der Marke ASUS"},"content":{"rendered":"<p>Dank unserer relativ neuen Produkttechnologie, die Supply-Chain-Angriffe erkennt, konnten unsere Experten einen der bislang gr\u00f6\u00dften Supply-Chain-Vorf\u00e4lle aufdecken. (Erinnern Sie sich noch an den <a href=\"https:\/\/www.kaspersky.com\/blog\/ccleaner-supply-chain\/21785\/\" target=\"_blank\" rel=\"noopener nofollow\">CCleaner-Angriff<\/a>, der damals unz\u00e4hlige Nutzer betraf? Die Attacke, von der wir in diesem Beitrag berichten, ist deutlich gr\u00f6\u00dfer!) Ein Bedrohungsakteur konnte erfolgreich das Hilfsprogramm \u201eAsus Live Update\u201c, das Laptops und Desktops von ASUS mit BIOS, UEFI und Software-Updates versorgt, modifizieren, indem er dem Dienstprogramm eine Backdoor hinzuf\u00fcgte und diese dann \u00fcber offizielle Kan\u00e4le an Benutzer verteilte.<\/p>\n<p>Das trojanisierte Hilfsprogramm war mit einem legitimen Zertifikat signiert und wurde auf dem offiziellen ASUS-Update-Server gehostet; einer der Gr\u00fcnde, weshalb es lange Zeit unentdeckt bleiben konnte. Um keinen Verdacht zu erregen, stellten die Kriminellen dar\u00fcber hinaus sicher, dass die Dateigr\u00f6\u00dfe des infizierten Dienstprogramms exakt der des urspr\u00fcnglichen Programms entsprach.<\/p>\n<p>Unseren Statistiken zufolge haben mehr als 57.000 Kaspersky-Lab-Nutzer das Backdoor-Dienstprogramm installiert; wir gehen allerdings davon aus, dass es insgesamt an 1 Million Nutzer verteilt werden konnte. Die f\u00fcr den Angriff verantwortlich Cyberkriminellen hatten jedoch nicht alle der \u00fcber eine Million betroffenen Nutzer im Visier, sondern lediglich 600 spezifische MAC-Adressen, f\u00fcr die die Hashes in verschiedenen Versionen des Dienstprogramms verschl\u00fcsselt wurden.<\/p>\n<p>Bei der Untersuchung des Angriffs konnten wir zudem feststellen, dass dieselben Techniken auch gegen die Software von drei anderen Anbietern verwendet wurden. Selbstverst\u00e4ndlich haben wir ASUS sowie die anderen betroffenen Unternehmen \u00fcber den Angriff informiert. Ab sofort erkennen und blockieren alle Kaspersky-Lab-L\u00f6sungen die trojanisierten Hilfsprogramme. Dennoch empfehlen wir Ihnen, das Hilfsprogramm ASUS Live Update zu aktualisieren, falls Sie es verwenden.<\/p>\n<p>Wenn Sie mehr \u00fcber einen der gr\u00f6\u00dften Supply-Chain-Angriffe erfahren m\u00f6chten und sich f\u00fcr detaillierte technische Details, die Angriffsziele der Attacke sowie hilfreiche Tipps zum Schutz vor Supply-Chain-Angriffen interessieren, k\u00f6nnen wir Ihnen den Besuch unseres <a href=\"https:\/\/sas.kaspersky.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Security Analyst Summit 2019<\/a> w\u00e4rmstens ans Herz legen. Die Sicherheitskonferenz \u00f6ffnet am 8. April in Singapur ihre Pforten und erwartet Sie, unter anderem, mit einem interessanten und detaillierten Vortrag \u00fcber den APT ShadowHammer. Es sind nur noch wenige Tickets verf\u00fcgbar, also ist Eile geboten!<\/p>\n<p>Alternativ k\u00f6nnen Sie einen Blick auf unseren gesamten Bericht, der parallel zur Sicherheitskonferenz auf <a href=\"https:\/\/securelist.com\/\" target=\"_blank\" rel=\"noopener\">securelist.com<\/a> zur Verf\u00fcgung gestellt wird, werfen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unsere Technologien entdecken den bislang gr\u00f6\u00dften Supply-Chain-Angriff.<\/p>\n","protected":false},"author":2411,"featured_media":18833,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3252,1332,3253,2967,1012],"class_list":{"0":"post-18832","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-thesas2019","9":"tag-sas","10":"tag-sas-2019","11":"tag-supply-chain","12":"tag-updates"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/shadow-hammer-teaser\/18832\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/shadow-hammer-teaser\/15452\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/shadow-hammer-teaser\/13016\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/shadow-hammer-teaser\/17396\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/shadow-hammer-teaser\/15544\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/shadow-hammer-teaser\/14224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/shadow-hammer-teaser\/18089\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/shadow-hammer-teaser\/17081\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/shadow-hammer-teaser\/22486\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/shadow-hammer-teaser\/5807\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/shadow-hammer-teaser\/26149\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/shadow-hammer-teaser\/11539\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/shadow-hammer-teaser\/10502\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/shadow-hammer-teaser\/22850\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/shadow-hammer-teaser\/18169\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/shadow-hammer-teaser\/22325\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/shadow-hammer-teaser\/22261\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/thesas2019\/","name":"#theSAS2019"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18832","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2411"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18832"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18832\/revisions"}],"predecessor-version":[{"id":23143,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18832\/revisions\/23143"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18833"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18832"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18832"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18832"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}