Na topie

ShadowHammer - potężny atak na użytkowników komputerów firmy ASUS [AKT.]

Autor:

więcej artykułów ze strefy:
Bezpieczeństwo

Narażeni na atak byli użytkownicy pobierający zmodyfikowane narzędzie ASUS Live Update Utility. Oficjalne statystyki wskazują na ponad 57 tysięcy zainfekowanych użytkowników, ale nieoficjalnie mówi się nawet o milionie infekcji.

  • ShadowHammer - potężny atak na użytkowników komputerów firmy ASUS [AKT.]
A A

Badacze firmy Kaspersky Lab odkryli potężny atak na użytkowników komputerów i laptopów firmy ASUS. Sprawa jest o tyle istotna, że wśród poszkodowanych są również Polacy.

Scenariusz ataku ShadowHammer był wyjątkowo podstępny. Przestępcy zainfekowali oprogramowanie ASUS Live Update Utility, a więc autorskie narzędzie producenta, służące do automatycznej aktualizacji oprogramowania, sterowników, BIOS-u i UEFI. Zmodyfikowany plik został podpisany prawidłowym certyfikatem i umieszczony na oficjalnym serwerze producenta, skąd był pobierany przez nieświadomych użytkowników.

ASUS ShadowHammer
Według oficjalnych statystyk około 3% poszkodowanych do Polacy

Według oficjalnych statystyk, zainfekowane oprogramowanie zainstalowało ponad 57 000 użytkowników produktów Kaspersky Lab (ujawnione dane wskazują, że około 3% z nich to Polacy). Rosyjscy badacze podejrzewają jednak znacznie większą skalę infekcji - nieoficjalnie mówi się o około milionie komputerów.

Warto jednak zauważyć, że atak tak naprawdę był wymierzony w konkretną grupę komputerów. W zainfekowanym oprogramowaniu odnaleziono listę zakodowanych 600 adresów MAC, które miały być poddawane kolejnej infekcji (niestety nie wiadomo jaki miała ona cel). Co prawda badacze rozszyfrowali listę adresów, ale tożsamość ich właścicieli pozostaje nieznana.

Wybrani producenci stanowią niezwykle atrakcyjne cele dla ugrupowań cyberprzestępczych, które mogą chcieć wykorzystać ich ogromną bazę klientów. Na razie nie wiadomo, jaki był ostateczny cel atakujących. Nadal również badamy, kto stoi za tym atakiem. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej była powiązana między innymi z incydentami ShadowPad oraz CCleaner. Nowa kampania to kolejny przykład tego, jak wyrafinowany i niebezpieczny może być dzisiaj inteligentny atak na łańcuch dostaw - powiedział Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badan i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab.

ASUS Live Update Utility - certyfikat zainfekowanego oprogramowania
Przestępcy podpisali zmodyfikowane oprogramowanie prawidłowym certyfikatem producenta

Niestety, atak nie stawa firmy ASUS w dobrym świetle. Producent miał dowiedzieć się o infekcji plików pod koniec stycznia, ale nie poinformował o tym swoich klientów. Aktualnie na serwerach znajdują się już bezpieczne wersje oprogramowania. Jeżeli więc używacie narzędzia ASUS Live Update Utility, zalecamy jego jak najszybszą aktualizację.

Kaspersky nadal bada sprawę zainfekowanego oprogramowania, a kolejne szczegóły ma ujawnić 8 kwietnia na konferencji SAS 2019 w Singapurze. Warto jednak podkreślić, że wszystkie pakiety Kaspersky Lab wykrywają i blokują zmodyfikowane pliki. Producent udostępnił specjalne narzędzie, przy pomocy którego użytkownicy mogą sprawdzić, czy ich urządzenie stanowiło cel tego ataku. Pozwala na to również specjalnie uruchomiona strona internetowa.

Aktualizacja 26.03.2019 18:20

Firma ASUS wydała oficjalne oświadczenie, w którym potwierdziła zainfekowanie oprogramowania ASUS Live Update (inne oprogramowanie nie zostało zmodyfikowane). Atak miał być ukierunkowany na bardzo małą i określoną grupę użytkowników. Producent dotarł do poszkodowanych i zapewnił pomoc w celu usunięcia zagrożenia.

W najnowszej wersji oprogramowania (3.6.8) wprowadzono wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim manipulacjom oprogramowania, a także zaimplementowano ulepszony mechanizm szyfrowania end-to-end. Jednocześnie zaktualizowano i wzmocniono mechanizm server-to-end-user udostępniania plików użytkownikom, aby zapobiec podobnym przypadkom w przyszłości.

Producent udostępnił również narzędzie do sprawdzenia potencjalnego zagrożenia - zainteresowani mogą pobrać je tutaj.

Źródło: Kaspersky Lab, Zaufana Trzecia Strona

Odsłon: 8794 Skomentuj newsa
Komentarze

9

Udostępnij
  1. losiaczek1
    Oceń komentarz:

    9    

    Opublikowano: 2019-03-26 07:19

    Może w końcu producenci komputerów przestaną wciskać na siłę swoje autorskie tandetne oprogramowanie, które tylko zamula PC. Ja po kupieniu laptopa od razu zrobiłem format i zainstalowałem czysty system.

    Skomentuj

    1. jozek23
      Oceń komentarz:

      -1    

      Opublikowano: 2019-03-27 09:33

      Ale to nie o PC chodzi tylko o laptopy

      Skomentuj

  2. losiaczek1
    Oceń komentarz:

    11    

    Opublikowano: 2019-03-26 07:36

    Asus nie potrafi zaktualizować od miesięcy sterowników do swoich urządzeń a informatyków zmusza do pisania programów, które tylko powielają funkcje znajdujące się w Windowsie.

    Skomentuj

  3. Kenjiro
    Oceń komentarz:

    8    

    Opublikowano: 2019-03-26 08:13

    Asus ma tylko całkiem dobre płyty główne, cała reszta sprzętu jest przeciętna i słaba. Obecny atak i brak komentarza ze strony Asusa tylko potwierdza, że nie są gotowi na bycie poważnym producentem, a raczej niszowym dla entuzjastów gotowych żyć na krawędzi...

    Skomentuj

  4. Marucins
    Oceń komentarz:

    4    

    Opublikowano: 2019-03-26 14:31

    "Producent miał dowiedzieć się o infekcji plików pod koniec stycznia, ale nie poinformował o tym swoich klientów."

    Brawo.
    W nagrodę kupmy od nich mobasy, toż są tak świetne.

    Skomentuj

  5. AmigaPPC
    Oceń komentarz:

    3    

    Opublikowano: 2019-03-26 19:01

    Mnie tylko ciekawi jak zostały podmienione pliki (na zainfekowane) na serwerach Asusa.

    Skomentuj

    1. gormar
      Oceń komentarz:

      0    

      Opublikowano: 2019-03-26 22:15

      Z tego co czytałem to najbardziej prawdopodobna wersja jest taka, że przestępcy uzyskali dostęp do serwera wersji i zmodyfikowali kod programu. To z tego powodu tak długo ten atak nie był wykryty. Gdyby podmienili tylko plik wykonywalny, to ktoś by się w miarę szybko zorientował. Przynajmniej powinien.

      Skomentuj

      1. AmigaPPC
        Oceń komentarz:

        1    

        Opublikowano: 2019-03-28 10:49

        Ok. Ale w jaki sposób uzyskali dostęp do serwera? kto im w tym pomógł?
        Bo chyba nie sądzisz, że serwer nie miał żadnych zabezpieczeń przed nieuprawnionym dostępem.

        Skomentuj

  6. Stelek
    Oceń komentarz:

    0    

    Opublikowano: 2019-03-27 14:52

    3 lata po pierwszym ataku Asus reaguje ...
    W styczniu Kaspersky informował o ataku i zarażonym sofcie na serwerach Asusa, łącznie z certyfikatami itd. - mamy końcówkę marca. Gdyby nie nagłośnienie całej sprawy w ostatnim czasie Asus nic bym z tym nie zrobił do dziś, a to co zrobił ... "dotarł do poszkodowanych" - tylko że ataki zakończono jeszcze w 2018 roku, a Asus dziś dochodzi do poszkodowanych ?!? - ponad 3 miesiące po ataku Asus się budzi i informuje że coś jest na rzeczy. Hipokryzja lvl-master

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!