Sjekk om Asus -PC -en din ble påvirket av ShadowHammer -hacket med dette offisielle verktøyet

26. mars 2019Asus har utstedt en uttalelse som bekrefter Asus Live Update Tool -angrepet.

Intern programvare som tilhører teknologigiganten Asus har blitt kompromittert av uærlige aktører, heter det i en rapport fra Kaspersky Lab-senere bekreftet av Asus. Asus Live Update Utility -programvaren har blitt brukt som et middel til å installere en ondsinnet bakdør på rundt 57 000 Windows -datamaskiner - om ikke hundretusenvis mer utenfor rekkevidde - og påfølgende skadelig programvare på utvalgte, målrettede få.

Asus bekreftet at angrepet fant sted i en uttalelse, og hevdet at et lite antall enheter har blitt implantert med ondsinnet kode gjennom et sofistikert angrep på våre Live Update -servere i et forsøk på å målrette mot en veldig liten og spesifikk brukergruppe.

Den første rapporten fra Kaspersky Lab hevder at en kompromittert server på Asus HQ ble brukt til å sende digitalt signert og 'sikker' programvare, komplett med kompromitterende bakdør, uforvarende til brukernes PC-er mellom juni og november 2018. Når den er installert, ville den søke for forhåndsbestemte MAC-adresser, som antyder at angrepet er målrettet, og hvis det blir funnet, kobler du til en tredjepartsserver som vil installere skadelig programvare på disse maskinene.

Hvis du er bekymret for at du kan bli smittet etter angrepet, kan du bruke Asus diagnostisk verktøy for sikkerhet på nettet å sjekke (levert av Asus).

Asus kundeservice har også kontaktet berørte brukere for å sikre at bakdøren eller skadelig programvare fjernes. Det implementerer også en løsning for Live Update -programvaren (ver. 3.6.8) for å implementere flere sikkerhetskontrolltiltak og styrket serverarkitekturen for å gjøre denne typen angrep langt vanskeligere i fremtiden.

Angrepet ble først oppdaget etter at Kaspersky Lab implementerte en ny forsyningskjede-deteksjonsteknologi til skanneverktøyet for å fange opp denne farlige koden i legitime pakker, og senere rapporterte kl. Hovedkort . Sikkerhetsselskapet planlegger å gi ut et fullt teknisk dokument om det foreslåtte Asus -angrepet på Summit for sikkerhetsanalytiker i Singapore.

Selvfølgelig tilbyr Kaspersky Lab også et ondskapsfullt navn på angrepet: Operation ShadowHammer - uten tvil gjør handlinger av denne art enda mer lokkende for de som har midler og vilje til å utføre dem. Jeg foreslår at den neste store hacken kalles operasjonsstinker, eller operasjon **** hat. Ingen ønsker å være hjernen bak operasjonen **** hat.

Hack deg selv:Slik overklokker du CPU og GPU

Den ondsinnede filen var faktisk en tre år gammel Asus-oppdateringsfil, heter det i rapporten. Denne filen ble injisert med ondsinnet kode og deretter forfalsket ved bruk av et ekte Asus -sertifikat. På grunn av alderen på filen som ble brukt, tror Kaspersky ikke at angriperne hadde tilgang til hele Asus 'systemer, bare den delen som var nødvendig for å signere sertifikater for klientsystemer for å anerkjenne disse som legitime.

Kaspersky Lab forsøkte også å kontakte Asus i januar for å rapportere angrepet. Asus nektet imidlertid for påstandene. Det skal angivelig fortsette å bruke ett av de to kompromitterte sertifikatene i løpet av de få månedene etter, men har siden opphørt bruken.

Hovedkortet tok deretter kontakt med et sekundært sikkerhetsselskap, Symantec, for å bekrefte om kundene mottok den ondsinnede koden. Den bekreftet at minst 13 000 ble berørt. Hele bredden av angrepet er ennå ikke bekreftet, men estimert i hundretusener.

Dette angrepet viser at tillitsmodellen vi bruker basert på kjente leverandørnavn og validering av digitale signaturer ikke kan garantere at du er trygg mot skadelig programvare, sier Vitaly Kamluk, leder av Kaspersky Labs Global Research and Analysis -team til hovedkort.

Hvis du ikke var en av de rundt 600 MAC-adressene som angrepet angrep, ville skadelig programvare forbli relativt lavmælt-derfor klarte den å unngå oppdagelse så lenge. Bakdøren forble imidlertid åpen for utnyttelse på berørte systemer.

De prøvde ikke å målrette mot så mange brukere som mulig, fortsetter Kamluk. De ønsket å komme inn på helt spesifikke mål, og de visste allerede på forhånd nettverkskortets MAC -adresse, noe som er ganske interessant.

Dette angrepets målrettede natur er fascinerende, og sikkerhetsforskerne mener Asus -angrepet kan ha vært knyttet til et tidligere - potensielt et forløper - CCleaner -angrep. Asus 'servere ble oppført blant de som er berørt av den utbredte CCleaner -malwareoppdateringen, og Kaspersky Lab mener at dette kunne ha vært hvordan angriperne fikk tilgang til de nødvendige komponentene for den siste utbruddet av hack.