Im April diesen Jahres wurde der taiwanesische Hardware-Hersteller Micro-Star International (MSI) Opfer eines Hackerangriffs durch die Ransomware-Gruppe "Money Message". Die Hacker konnten sich Zugriff zu IT-Systemen des Unternehmens verschaffen und erbeuteten 1⸴5 Terabyte an Unternehmensdokumenten. Zudem forderten sie ein Lösegeld in Höhe von vier Millionen Dollar und drohten mit einer Veröffentlichung der Informationen, falls die Forderungen nicht erfüllt werden.
Die Konsequenzen des Angriffs blieben nicht aus. Die von den Hackern veröffentlichten privaten Schlüssel von MSI stellen eine Gefahr für die Sicherheit von verschiedenen Hardware-Geräten dar. Diese Schlüssel ermöglichen es Cyberkriminellen eine manipulierte Firmware zu signieren und dadurch bösartigen Code auf den betroffenen Geräten einzuschleusen. Da die Geräte die signierte Firmware als vertrauenswürdig einstufen, erfolgt die Installation ohne jegliche Warnung.
Nicht nur Produkte von MSI sind von diesem Sicherheitsvorfall betroffen. Die privaten Schlüssel die von den Hackern veröffentlicht wurden, können ebenfalls die Sicherheit von anderen Hardware-Herstellern wie Intel, Lenovo und Supermicro gefährden. Einer der entdeckten privaten Schlüssel wurde für Intel BootGuard und zur Signierung der Firmware von MSI genutzt. Experten warnen davor, dass durch den MSI-Hack auch "Intel BootGuard auf bestimmten Geräten unwirksam ist". Dadurch besteht die Möglichkeit · dass das System beim Start nicht nur verifizierten Code ausführt · allerdings auch bösartigen Code.
Die von den Hackern veröffentlichten privaten Schlüssel wurden von Sicherheitsforschern von Binarly entdeckt. Sie warnen vor den Folgen des Datendiebstahls und betonen. Dass MSI-Nutzer besonders wachsam sein sollten. Eine Neuinstallation des Betriebssystems oder ein Austausch der Festplatte würde nicht helfen, das System von dem infizierten Code zu bereinigen.
Binarly hat alle gefundenen Schlüssel in einem öffentlich einsehbaren Github-Projekt gesammelt und listet auch alle MSI-Produkte auf die von diesem Sicherheitsvorfall betroffen sind. MSI-Nutzer sollten Firmware-Updates ausschließlich über die offizielle Webseite des Herstellers beziehen um sich vor einem potenziellen Angriff zu schützen.
Die Folgen des MSI-Hacks sind besorgniserregend und werfen Fragen bezüglich der Sicherheit von Hardware-Geräten auf. Es stellt sich die Frage, ebenso wie ein privater OEM-Schlüssel für ein vertrauenswürdiges Boot-System ausgespäht werden konnte und welche weiteren geheimen Schlüssel durchsickern könnten. Unternehmen müssen ihre Sicherheitsmaßnahmen optimieren um solche Angriffe in Zukunft zu vermeiden und die Sicherheit ihrer Kunden zu gewährleisten.
Kommentare