Bezpieczeństwo

ShadowHammer - potężny atak na użytkowników komputerów firmy ASUS [AKT.]

przeczytasz w 2 min.

Narażeni na atak byli użytkownicy pobierający zmodyfikowane narzędzie ASUS Live Update Utility. Oficjalne statystyki wskazują na ponad 57 tysięcy zainfekowanych użytkowników, ale nieoficjalnie mówi się nawet o milionie infekcji.

Badacze firmy Kaspersky Lab odkryli potężny atak na użytkowników komputerów i laptopów firmy ASUS. Sprawa jest o tyle istotna, że wśród poszkodowanych są również Polacy.

Scenariusz ataku ShadowHammer był wyjątkowo podstępny. Przestępcy zainfekowali oprogramowanie ASUS Live Update Utility, a więc autorskie narzędzie producenta, służące do automatycznej aktualizacji oprogramowania, sterowników, BIOS-u i UEFI. Zmodyfikowany plik został podpisany prawidłowym certyfikatem i umieszczony na oficjalnym serwerze producenta, skąd był pobierany przez nieświadomych użytkowników.

ASUS ShadowHammer
Według oficjalnych statystyk około 3% poszkodowanych do Polacy

Według oficjalnych statystyk, zainfekowane oprogramowanie zainstalowało ponad 57 000 użytkowników produktów Kaspersky Lab (ujawnione dane wskazują, że około 3% z nich to Polacy). Rosyjscy badacze podejrzewają jednak znacznie większą skalę infekcji - nieoficjalnie mówi się o około milionie komputerów.

Warto jednak zauważyć, że atak tak naprawdę był wymierzony w konkretną grupę komputerów. W zainfekowanym oprogramowaniu odnaleziono listę zakodowanych 600 adresów MAC, które miały być poddawane kolejnej infekcji (niestety nie wiadomo jaki miała ona cel). Co prawda badacze rozszyfrowali listę adresów, ale tożsamość ich właścicieli pozostaje nieznana.

Wybrani producenci stanowią niezwykle atrakcyjne cele dla ugrupowań cyberprzestępczych, które mogą chcieć wykorzystać ich ogromną bazę klientów. Na razie nie wiadomo, jaki był ostateczny cel atakujących. Nadal również badamy, kto stoi za tym atakiem. Techniki wykorzystywane do nieautoryzowanego wykonania kodu, jak również inne wykryte ślady sugerują, że ShadowHammer może mieć koneksje z grupą z BARIUM APT, która wcześniej była powiązana między innymi z incydentami ShadowPad oraz CCleaner. Nowa kampania to kolejny przykład tego, jak wyrafinowany i niebezpieczny może być dzisiaj inteligentny atak na łańcuch dostaw - powiedział Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badan i Analiz (GReAT) w regionie Azji i Pacyfiku, Kaspersky Lab.

ASUS Live Update Utility - certyfikat zainfekowanego oprogramowania
Przestępcy podpisali zmodyfikowane oprogramowanie prawidłowym certyfikatem producenta

Niestety, atak nie stawa firmy ASUS w dobrym świetle. Producent miał dowiedzieć się o infekcji plików pod koniec stycznia, ale nie poinformował o tym swoich klientów. Aktualnie na serwerach znajdują się już bezpieczne wersje oprogramowania. Jeżeli więc używacie narzędzia ASUS Live Update Utility, zalecamy jego jak najszybszą aktualizację.

Kaspersky nadal bada sprawę zainfekowanego oprogramowania, a kolejne szczegóły ma ujawnić 8 kwietnia na konferencji SAS 2019 w Singapurze. Warto jednak podkreślić, że wszystkie pakiety Kaspersky Lab wykrywają i blokują zmodyfikowane pliki. Producent udostępnił specjalne narzędzie, przy pomocy którego użytkownicy mogą sprawdzić, czy ich urządzenie stanowiło cel tego ataku. Pozwala na to również specjalnie uruchomiona strona internetowa.

Aktualizacja 26.03.2019 18:20

Firma ASUS wydała oficjalne oświadczenie, w którym potwierdziła zainfekowanie oprogramowania ASUS Live Update (inne oprogramowanie nie zostało zmodyfikowane). Atak miał być ukierunkowany na bardzo małą i określoną grupę użytkowników. Producent dotarł do poszkodowanych i zapewnił pomoc w celu usunięcia zagrożenia.

W najnowszej wersji oprogramowania (3.6.8) wprowadzono wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim manipulacjom oprogramowania, a także zaimplementowano ulepszony mechanizm szyfrowania end-to-end. Jednocześnie zaktualizowano i wzmocniono mechanizm server-to-end-user udostępniania plików użytkownikom, aby zapobiec podobnym przypadkom w przyszłości.

Producent udostępnił również narzędzie do sprawdzenia potencjalnego zagrożenia - zainteresowani mogą pobrać je tutaj.

Źródło: Kaspersky Lab, Zaufana Trzecia Strona

Komentarze

9
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    losiaczek1
    11
    Asus nie potrafi zaktualizować od miesięcy sterowników do swoich urządzeń a informatyków zmusza do pisania programów, które tylko powielają funkcje znajdujące się w Windowsie.
    • avatar
      losiaczek1
      9
      Może w końcu producenci komputerów przestaną wciskać na siłę swoje autorskie tandetne oprogramowanie, które tylko zamula PC. Ja po kupieniu laptopa od razu zrobiłem format i zainstalowałem czysty system.
      • avatar
        Kenjiro
        8
        Asus ma tylko całkiem dobre płyty główne, cała reszta sprzętu jest przeciętna i słaba. Obecny atak i brak komentarza ze strony Asusa tylko potwierdza, że nie są gotowi na bycie poważnym producentem, a raczej niszowym dla entuzjastów gotowych żyć na krawędzi...
        • avatar
          Marucins
          4
          "Producent miał dowiedzieć się o infekcji plików pod koniec stycznia, ale nie poinformował o tym swoich klientów."

          Brawo.
          W nagrodę kupmy od nich mobasy, toż są tak świetne.
          • avatar
            AmigaPPC
            3
            Mnie tylko ciekawi jak zostały podmienione pliki (na zainfekowane) na serwerach Asusa.
            • avatar
              Stelek
              0
              3 lata po pierwszym ataku Asus reaguje ...
              W styczniu Kaspersky informował o ataku i zarażonym sofcie na serwerach Asusa, łącznie z certyfikatami itd. - mamy końcówkę marca. Gdyby nie nagłośnienie całej sprawy w ostatnim czasie Asus nic bym z tym nie zrobił do dziś, a to co zrobił ... "dotarł do poszkodowanych" - tylko że ataki zakończono jeszcze w 2018 roku, a Asus dziś dochodzi do poszkodowanych ?!? - ponad 3 miesiące po ataku Asus się budzi i informuje że coś jest na rzeczy. Hipokryzja lvl-master

              Witaj!

              Niedługo wyłaczymy stare logowanie.
              Logowanie będzie możliwe tylko przez 1Login.

              Połącz konto już teraz.

              Zaloguj przez 1Login