Tajwański gigant technologiczny – ASUS prawdopodobnie wypuścił szkodliwe oprogramowanie do setek tysięcy klientów dzięki zaufanemu automatycznemu narzędziu do aktualizacji software’u. Stało się to po tym, jak napastnicy zaatakowali serwer firmy i wykorzystali go do przeniesienia malware na laptopy ASUSA. Jeśli zatem masz sprzęt tej firmy, lepiej przeprowadź skan w poszukiwaniu złośliwego software’u.
Laptopy ASUSa i malware – szczegóły afery
Naukowcy z Kaspersky szacują, że pół miliona komputerów z systemem Windows otrzymało malware za pośrednictwem serwera aktualizacji ASUS, chociaż wydaje się, że celem było tylko około 600 urządzeń. Szkodliwe oprogramowanie przeszukiwało docelowe systemy za pomocą unikalnych adresów MAC. Po znalezieniu w systemie jednego z tych docelowych adresów dotarło do serwera kontroli, z którego korzystali atakujący, a następnie zainstalowali dodatkowe złośliwe oprogramowanie na innych komputerach.
Kaspersky Lab poinformował, że odkrył atak w styczniu po dodaniu nowej technologii wykrywania do swojego narzędzia do skanowania. Firma planuje wydanie pełnego dokumentu technicznego i prezentacji na temat ataku laptopów ASUS, który nazwano ShadowHammer, w przyszłym miesiącu na swoim szczycie Security Analyst Summit w Singapurze. Tymczasem Kaspersky opublikował niektóre szczegóły techniczne na swojej stronie internetowej. Kaspersky powiadomił ASUS o problemie 31 stycznia, a pracownik firmy spotkał się osobiście z ASUSem 14 lutego. Od tego czasu firma nie reaguje na żadne problemy i nie powiadomiła klientów o możliwym problemie.
Osoby atakujące laptopy ASUSa wykorzystały dwa różne cyfrowe certyfikaty ASUS do podpisania swojego złośliwego oprogramowania. Pierwszy wygasł w połowie 2018 r., więc atakujący przełączyli się na drugi legalny certyfikat, aby potem podpisać swoje złośliwe oprogramowanie. ASUS używał jednego z tych certyfikatów do podpisywania własnych plików przez co najmniej miesiąc po tym, jak Kaspersky powiadomił firmę o problemie. Firma jednak wciąż nie unieważniła dwóch skompromitowanych certyfikatów, co oznacza, że atakujący lub każdy inny, kto ma dostęp do nieaktualnego certyfikatu, nadal może podpisywać za jego pomocą szkodliwe pliki, a komputery będą wyświetlać te pliki jako legalne pliki ASUS.
Zobacz także: Nowy Edge będzie świetny!
Laptopy ASUSa zaatakowane nie pierwszy raz
To nie byłby pierwszy raz, gdy ASUS został oskarżony o naruszenie bezpieczeństwa swoich klientów. W 2016 r. firma została obciążona przez Federalną Komisję Handlu za błędne przedstawianie i nieuczciwe praktyki bezpieczeństwa w związku z wieloma lukami w zabezpieczeniach routerów, przechowywaniem kopii zapasowych w chmurze i narzędziem do aktualizacji oprogramowania układowego, które pozwoliłyby napastnikom uzyskać dostęp do plików klientów i logowania do routera. FTC twierdziło, że ASUS wiedział o tych lukach przez co najmniej rok, zanim naprawił je i powiadomił klientów, stawiając niemal milion amerykańskich właścicieli routerów na ryzyko ataku. ASUS rozstrzygnął sprawę, zgadzając się na ustanowienie i utrzymanie kompleksowego programu bezpieczeństwa, który podlegałby niezależnemu audytowi przez 20 lat.
Narzędzie do aktualizacji na żywo firmy ASUS, które dostarczało klientom złośliwe oprogramowanie w zeszłym roku, jest instalowane fabrycznie na laptopach ASUS i innych urządzeniach. Gdy użytkownicy je włączą, narzędzie okresowo kontaktuje się z serwerem aktualizacji ASUS, aby sprawdzić, czy dostępne są jakiekolwiek aktualizacje oprogramowania.
Ataki przez zaufane źródła
Problem podkreśla rosnące zagrożenie ze strony tak zwanych ataków na „łańcuch dostaw”, w których złośliwe oprogramowanie lub komponenty są instalowane w systemach, które są produkowane lub montowane za pośrednictwem zaufanych kanałów. W ubiegłym roku Stany Zjednoczone uruchomiły grupę zadaniową ds. łańcucha dostaw, aby zbadać tę kwestię po ujawnieniu w ostatnich latach szeregu ataków tego typu. Chociaż większość ataków na łańcuchy dostaw koncentruje się na możliwości dodania złośliwych „implantów” do sprzętu lub oprogramowania podczas produkcji, aktualizacje oprogramowania dostawcy są idealnym sposobem dla atakujących na dostarczenie złośliwego oprogramowania do systemów po ich sprzedaży, ponieważ klienci ufają oficjalnym aktualizacjom. W szczególności budzą one zaufanie, jeśli są podpisane za pomocą legalnego certyfikatu cyfrowego dostawcy.
„Ten atak pokazuje, że model zaufania, którego używamy w oparciu o znane nazwy dostawców i sprawdzanie podpisów cyfrowych, nie może zagwarantować, że jesteś bezpieczny przed złośliwym oprogramowaniem”, powiedział Vitaly Kamluk, dyrektor ds. globalnego zespołu badawczo-analitycznego w regionie Azji i Pacyfiku, który kierował badaniami. Zauważył, że ASUS zaprzeczył Kaspersky, że jego serwer został zaatakowany i że złośliwe oprogramowanie pochodzi z jego sieci, gdy naukowcy skontaktowali się z firmą w styczniu. Jednak ścieżka pobierania próbek szkodliwego oprogramowania, które zebrał Kaspersky, prowadzi bezpośrednio do serwera ASUS, powiedział Kamluk.
To kolejny atak tego typu
Nie jest to pierwszy raz, kiedy atakujący użyli zaufanych aktualizacji oprogramowania do zainfekowania systemów. Narzędzie szpiegowskie Flame, było pierwszym znanym atakiem, który oszukał użytkowników w ten sposób, przejmując narzędzie aktualizacji Microsoft Windows, aby zainfekować komputery. Flame odkryty w 2012 roku, został podpisany za pomocą nieautoryzowanego certyfikatu Microsoft. Atakujący w tym przypadku nie narazili na szwank serwera aktualizacji Microsoftu, aby dostarczyć Flame. Zamiast tego byli w stanie przekierować narzędzie do aktualizacji oprogramowania na maszyny docelowych klientów, aby skontaktowali się ze złośliwym serwerem, zamiast legalnego serwera aktualizacji Microsoft.
Jeden atak odkryty w 2017 r. również zagroził zaufanym aktualizacjom oprogramowania. Dotyczył narzędzia do czyszczenia zabezpieczeń komputera, znanego jako CCleaner, które dostarczało złośliwe oprogramowanie klientom poprzez aktualizację oprogramowania. Ponad 2 miliony klientów otrzymało tę złośliwą aktualizację przed jej wykryciem
Źródło: motherboard.vice