Ende März machte Kaspersky darauf aufmerksam, dass der ASUS Update-Server 2018 Malware an Notebooks und Desktop-PCs des Herstellers verteilte. Nach eigenen Schätzungen waren davon über eine Million Nutzer betroffen. Weder den Mitarbeitern noch den Systemen selbst fiel eine Unregelmäßigkeit auf.
Das Problem war ASUS deshalb nicht bekannt, weil die als Update getarnte Schadsoftware mit einem vertrauenswürdigen digitalen Zertifikat versehen war.
Nun haben die Forscher sechs weitere Unternehmen gefunden, die im Nachgang der ShadowHammer-Operation kompromittiert wurden, darunter vier südkoreanische Firmen. Bei den sechs nun bekannt gewordenen Fällen handelt es sich um vier Firmen aus der Videospiel-Industrie, unter anderem die Macher von Infestation: Survivor Stories und Point Blank.
Die Nutzung der Codesignatur ist ein direkter Beweis dafür, dass Maschinenidentitäten wichtige Werkzeuge für Cyberkriminelle sind. Der einzige Weg, sich gegen diese Art von Angriffen zu schützen, ist, dass jeder Softwareentwickler sicherstellt, dass er angemessen davor geschützt ist.
Es sollte niemanden überraschen, wie umfangreich dieser Angriff ist. Aufgrund ihrer großen Reichweite zielen Cyberkriminelle auf Code Signing-Zertifikate in breit angelegten Kampagnen und setzen sie in großen, mehrstufigen Angriffen ein.