Setki tysięcy komputerów Asusa narażonych na złośliwe oprogramowanie przez… samego producenta

Można by to nazwać pechem, ale przypadek Asusa raczej dość mocno wychodzi poza tę kategorię. Firma miała nieszczęście paść ofiarą dość brzydkiego ataku malware, w którym to nieświadomie rozsyłała szkodliwe oprogramowanie za pomocą zmodyfikowanego przez hakerów narzędzia do aktualizacji. W efekcie setki tysięcy komputerów tego producenta zostało narażonych na zainstalowanie złośliwego kodu.

Atak odkrył producent antywirusa Kaspersky, nazywając wspomniany malware mianem ShadowHammer. Hakerzy uzyskali dostęp do narzędzia ASUS Live Update Utility i zmodyfikowali go za pomocą luki bezpieczeństwa. Następnie wykorzystali go do rozpowszechniania szkodliwego oprogramowania na jakieś pół miliona komputerów Asusa.

ShadowHammer był o tyle wyrafinowanym atakiem, że wykorzystywał cyfrowe certyfikaty Asusa, a więc na pierwszy rzut oka w programie nie było nic podejrzanego. Legitymując się podpisem producenta, usypiał czujność antywirusów i użytkowników. Do tego plik z zainfekowanym narzędziem ASUS Live Update Utility, zostało przez hakerów zapisane na oficjalnych serwerach aktualizacji Asusa, i zadbali oni nawet o to, żeby miał on taki sam rozmiar jak oryginalny plik, aby upewnić się, że zmiany nie zostaną zbyt szybko wykryte.

(fot. Kaspersky)

Kaspersky poinformował, że zindentyfikował dotąd 57000 komputerów, na które pobrano zmodyfikowany pakiet aktualizacyjny. Najwięcej z nich znajduje się w Rosji, Niemczech i Francji. Co ciekawe, nie wszystkie nagle stały się „komputerami-zombie”, rozsyłającymi malware dalej. Oprogramowanie było kierowane do nieznanej puli użytkowników, których adresy MAC były porównywane z danymi kart sieciowych. Jeśli się zgadzały – dopiero wtedy program zaczynał działać. Kaspersky odnalazł 600 zaszyfrowanych adresów MAC, których szukał malware, choć celów ataku mogło być znacznie więcej.

Chociaż największe problemy ShadowHammer mógł sprawić tym kilkuset użytkownikom, to „dziurawe” narzędzie do aktualizacji programów Asusa wciąż było rozpowszechniane na dziesiątkach (lub setkach) tysięcy komputerów. Otwierało więc potencjalnie drogę do wykorzystania luki w przyszłości.

Jak widać, w Polsce też znajdują się zainfekowane komputery (fot. Kaspersky)

Kaspersky poinformował Asusa o odkrytym malware 31 stycznia, a sam atak nastąpił między lipcem a listopadem 2018 roku. Od początku lutego nikt z Asusa nie wysłał do firmy wydającej oprogramowanie antywirusowe ani jednego e-maila. O ataku nie poinformowano także właścicieli komputerów Asusa, narażonych na ryzyko utraty bądź wykorzystania danych. Oficjalne oświadczenie zostanie opublikowane dopiero dziś.

Pytanie brzmi: co robili spece bezpieczeństwa Asusa przez blisko dwa miesiące?

 

źródło: Motherboard i Kaspersky przez Slashgear