WannaCry hat bei Chiphersteller TSMC zugeschlagen …

[English]Der Schädling WannaCry aus 2017 hat am letzten Freitag beim Chip-Hersteller TSMC zugeschlagen und diverse Fertigungslinien still gelegt. Hier einige Informationen zum Thema.


Anzeige

Und ich schreib noch: Erinnert mich an WannaCry

Der Hersteller TSMC (Taiwan Semiconductor Manufacturing Company Limited) ist in Taiwan beheimatet und fertigt Computerchips für Apple, AMD, Nvidia, Qualcomm, Broadcom und weitere Industriekunden. Nach Pressemeldungen von Bloomberg und Reuters wurden die Produktionsanlagen des taiwanesischen Chip-Herstellers TSMC am Freitag (3.8.2018) durch ein Virus befallen.

Durch das Virus wurden Produktionsanlagen des Herstellers beeinträchtigt (wurden wohl abgeschaltet, um die Infektion zu beheben). Das Problem sollte erst bis zum Sonntag und dann bis zum Montag behoben sein. Ich berichtete im Blog-Beitrag Virus befällt Fabriken von iPhone Chip-Hersteller TSMC und schrieb: Das erinnert mich an WannaCry, was aber halb als Scherz gedacht war – aber mit so was sollte man nicht scherzen, denn es war WannaCry.

Was war nochmal WannaCry?

Der Erpressungstrojaner WannaCry infizierte seit dem 12. Mai 2017 weltweit tausende Computer (siehe Ransomware WannaCry befällt tausende Computer weltweit). Verteilt wurde WannaCry ursprünglich wohl über Phishing-Mails die den Trojaner in einer ZIP-Datei enthielten. Der Trojaner verschlüsselt die Dateien auf dem befallenen Windows-Rechner und fordert Lösegeld.

WannaCry-Meldung
(Quelle: MalwareBytes)


Anzeige

Der Trojaner konnte sich rasend schnell in Netzwerken verbreiten und andere Rechner befallen, weil er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens „The Shadow Brokers" (Codename „ETERNALBLUE"). Das NSA-Tool verschafft den Angreifern über einen Exploit der SMB & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff.

WannaCry nutzt dabei konkret die durch Microsoft am 14. März 2017 gepatchte Sicherheitslücke MS17-010 Security Update for Microsoft Windows SMB Server (4013389) zur Verbreitung innerhalb eines Netzwerks.  Nur durch Zufall fand ein Sicherheitsforscher einen Killswitch, um die Verbreitung des Erpressungstrojaners per Internet zu stoppen. Ich hatte ich ja einige Artikel rund um WannaCry hier im Blog (siehe Linkliste).

Microsoft hat im Nachgang Sicherheitsupdates für Windows XP bis Windows 10 für die betreffenden Schwachstellen im SMBv1-Protokoll veröffentlicht. Eigentlich dachte ich, dass sich das Thema WannaCry damit erledigt hätte.

Hätte, hätte Fahrradkette. In der Zeit seit dem ersten Auftauchen von WannaCry kam es in verschiedenen Firmen (Boing, Daimler etc.) immer wieder zu WannaCry-Infektionen – siehe auch Linkliste am Artikelende.

WannaCry hat bei TSMC zugeschlagen

heise.de berichtet nun in diesem Artikel, dass TSMC Details zum Virenangriff bekannt gegeben habe. Die Systeme waren in der Tat mit dem Trojaner WannaCry befallen. Mein erster Gedanke war: Da laufen alte Windows XP-Rechner in der Fertigung, und jemand hat die ins Netzwerk eingebunden. Aber so scheint es nicht gewesen zu sein.

Das Problem trat, laut TSMC-Vorstandschef C.C. Wei, am Freitag bei der Installation neuer Software auf neue Firmencomputer auf. Diese wurden wohl ohne weitere Virenprüfung mit dem TSC-Intranet verbunden. Weiterhin waren die verfügbaren Updates gegen die SMBv1-Schwachstellen ungepatcht.

Laut Herrn Wei handelt es sich bei den infizierten Rechnern um Windows 7-Maschinen, die in diversen Chip-Fabriken von TSMC in Taiwan eingesetzt werden. Hat mir erst einmal die Augenbrauen hochgezogen. Auf elektroniknet.de findet sich noch ein interessantes Zitat zum Fall:

Die WannaCry-Variante, die TSMC infiziert hat, hatte sich offenbar schon auf einer Maschine befunden, bevor der Hersteller sie an TSMC ausgeliefert hat. Als die Verantwortlichen bei TSMC die neue Maschine in die Produktionsumgebung integrierten, blieb WannaCry unerkannt, so dass sich der Wurm ausbreiten konnte.

Sprich: Beim Hersteller (wohl aus Asien, vermute ich mal) war eine bereits infizierte Windows 7-Software installiert. Normalerweise werden solche Rechner vor der Inbetriebnahme einer Sicherheitsüberprüfung mit Virenscans unterzogen. Diese Vorschriften scheinen im aktuellen Fall umgangen worden zu sein. Im Verbund mit ungepatchten Systemen konnte WannaCry sich dann im Netzwerk ausbreiten. Lässt nur den Schluss zu, dass da einiges (nicht nur beim Lieferanten der Maschine) im Argen liegt.

Mittlerweise behauptet TSMC, dass man das Problem unter Kontrolle habe. Es wird momentan bereits befürchtet, dass die Infektion Schäden von 150 Millionen bis 170 Millionen Dollar haben könnte. Ob die Produktion der neuen iPhone-Modelle dadurch beeinflusst wird (deren Chips kommen teilweise von TSMC), ist derzeit unklar.

Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
Wannycry: WCry-Decryptor für Windows XP
WannaCry Clone Ransomware befällt Systeme in der Ukraine
WannaCry-Infektionen bei Daimler?
WannaCry: Microsoft beschuldigt Nordkorea
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing
WannaCry: Die Gefahr ist noch nicht gebannt
WannaCry Wiederkehr? Von wegen, Betrugs-Mail


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu WannaCry hat bei Chiphersteller TSMC zugeschlagen …

  1. Markus Klocker sagt:

    Vorschrift? Nicht wenns billigst sein muss!

  2. Ingenieurs sagt:

    Oft TSCM statt TSMC im Blog geschrieben

  3. RUTZ-AhA sagt:

    Sicherheitsvorschriften vernachlässigen oder missachten war noch nie eine gute Idee. Heute und morgen Geld und Zeit gespart und übermorgen rollen die Krokodilstränen. Damit musste ich mich als Verantwortlicher auch ständig herum schlagen, kann ich ganze Bücher drüber schreiben.

    Mein Mitleid hält sich in Grenzen. TSCM kann den Hersteller/Lieferanten sowie die eigenen Zuständigen zur Verantwortung ziehen und/oder verklagen.

    TSCM ist nicht so arm, dass auf Teufel komm raus gespart werden muss. "Wer den Schaden hat …"

  4. Christian sagt:

    Erste Maßnahme wenn ich einen neuen PC bekomme ist diesen meine angepasst Windows Version zu installieren. MAC Adresse eintragen, Netzwerkboot starten und einmal im Menü das Image auswählen. Dauert keine 2 Minuten, alles weitere läuft voll automatisch.

    Das kostet mich weniger Zeit und Nerven als ein System aktiv nach Viren zu scannen oder von irgendwelcher Software zu befreien die der Hersteller meinte mitliefern zu müssen.

    • Mich@ sagt:

      bin ich der einzige der den Zusammenhang gerade nicht versteht?
      Was hat die Meldung mit deinem nächsten ersten PC zu tun?

      • Günter Born sagt:

        Er meint, dass er so eine WannaCry-Infektion auf seinen neuen Systemen vermeiden kann. Das war ja das Problem bei TSMC.

        Aber der Ansatz von Christian funktioniert schlicht nicht, wenn ein Steuerungssystem mit vorinstallierte Spezialsoftware für eine Fertigungsanlage mitgeliefert wird. Da muss i.d.R. das genommen werden, was der Hersteller vorkonfiguriert hat. Was natürlich einen Check und ein Auditing nicht ausschließt, sondern zwingend erforderlich macht.

        Wahrscheinlich hat mal wieder irgendwo die Zeit gedrängt, weil eine Produktionsanlage umgestellt und Komponenten verspätet geliefert wurden. Also sind die Inbetriebnehmer auf Risiko gegangen und böse reingefallen.

      • Christian sagt:

        Ok genauer:

        Bevor ich einen neuen PC ins Firmennetzwerk integriere, wird dieser vorher per Netzwerkboot (PXE) mit einen eigens erstellten Image neu installiert. Nach dem Boot und der Auswahl des Images installiert sich das Betriebssystem automatisch ohne weitere Abfragen.

        Das dauert in der Regel zwischen 10 und 25 Minuten (je nachdem ob der PC eine SSD hat oder eine HDD).

        Das ist weniger Aufwand und Zeit als ein PC mit vorinstallierten OS per Virenscan zu prüfen und/oder von unerwünschter Software des Herstellers zu befreien (Bloatware).

        Man muss sich nur mal vor Augen führen, auf welchen alten Patchstand dieser PC gewesen sein muss. Wahrscheinlich durften die Admins diesen PC noch nicht einmal patchen, da sonst die Funktionsgarantie der Steuerungssoftware nicht mehr gewährleistet war.

  5. Ralph D. Kärner sagt:

    "Ob die Produktion der neuen iPhone-Modelle hat (deren Chips kommen teilweise von TSMC), ist derzeit unklar. "

    Moin Günter,
    dieser Satz kein Verb.

  6. Roland Moser sagt:

    "…Der Trojaner verschlüsselt die Dateien auf dem befallenen Windows-Rechner …"
    Geht solche software grundsätzlich auf die "Eigenen Dateien" los und wie findet sie diese?

    • Günter Born sagt:

      Der Trojaner greift auf alle Dateien, auf die er Schreibrechte hat, zu und verschlüsselt diese nach den Dateierweiterungen. Das Finden ist kein Problem, es gibt in der Windows-API Aufrufe, um Verzeichnisse rekursiv zu durchsuchen.

  7. Günter Born sagt:

    Ergänzung: Mir sind beim Durchblättern der deutschen Microsoft Answers-Foren gleich zwei aktuelle (aber anonyme) Fälle mit WannaCry-Befall von Windows-Systemen unter die Augen gekommen. Irgend etwas ist im Busch, dass das gerade jetzt passiert. Also an alle Admins: Haltet die Augen offen.

    Wannacry beseitigung !

    WANNACRY WINDOWS CE

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.