Главная » Hi-Tech » Кибератака на Asus: хакеры взломали фирменное приложение компании и получили доступ к компьютерам сотен тысяч человек

Кибератака на Asus: хакеры взломали фирменное приложение компании и получили доступ к компьютерам сотен тысяч человек

Как злоумышленники получили доступ к серверам компании и как проверить свой компьютер.

В закладки

Исследователи «Лаборатории Касперского» опубликовали расследование о взломе фирменного приложения Asus Live Update — злоумышленники использовали его для распространения вредоносного ПО среди владельцев компьютеров Asus.

Точное число пострадавших пользователей неизвестно: эксперты «Лаборатории Касперского» считают, что жертвами атаки могли стать до 1 млн человек, хотя целью хакеров были 600 конкретных устройств.

Tom's Hardware

Что произошло

Asus Live Update — предустановленная программа на большинстве компьютеров Asus , которая используется для автоматического обновления драйверов, BIOS и фирменных приложений.

На протяжении этого времени владельцы компьютеров Asus скачивали Live Update со встроенным бэкдором — уязвимостью, которая позволяет злоумышленникам заражать компьютеры. Хакеры из APT-группировки ShadowHammer получили доступ к серверам компании и контролировали Live Update с июня по ноябрь 2018 года.

Специалисты уточняют, что только среди владельцев продуктов «Лаборатории Касперского» взломанное приложение скачали более 57 тысяч пользователей, а эксперты компании Symantec обнаружили заражение у 13 тысяч клиентов.

Распределение жертв взлома среди клиентов «Лаборатории Касперского» по странам Блог «Лаборатории Касперского»

Как хакеры распространяли вредоносное ПО

Хакеры подписывали взломанный файл приложения Live Update от 2015 года и загружали его на сервера компании — liveupdate01s.asus[.] com и liveupdate01.asus[.] com. Злоумышленники смогли получить доступ к части серверов Asus, связанных с подписанием файлов цифровыми сертификатами. Пользователи получали уведомление об обновлении Live Update и скачивали взломанный файл.

Пример подписанного взломанного приложения Блог «Лаборатории Касперского»

Это были трояны или вредоносные обновления, они были подписаны Asus», — сказал директор по разработке технологий безопасности и реагирования в Symantec Лиам О'Мурчу. «Мы видели, что обновления приходят с сервера Asus Live Update.

Файл был подписан сертификатом Asus, а сканирование файла антивирусами и сервисом VirusTotal не показали угроз. В июне 2018 года несколько пользователей Reddit получали предупреждения о «критическом обновлении» Live Update.

Приложение при этом не показывало обновлений, и в нём присутствовали опечатки, но грамматические ошибки были и в другом ПО от Asus, замечает один из пользователей.

Reddit

Кого именно, компания не раскрывает. Asus не единственная компания, которая пострадала от взлома — по версии специалистов «Лаборатории Касперского», похожий метод использовался для заражения ПО трех других производителей..

В чем особенность взлома

Они были сохранены в специальном списке внутри взломанного Live Update, рассказывают специалисты «Лаборатории Касперского». Специалисты изучили более 200 образцов вредоносных приложений, которые отправлялись жертвам и выяснили, что целью хакеров были около 600 компьютеров с определёнными MAC-адресами сетевых карт.

  • Попав на компьютер пользователя, приложение сверялось со списком, и если обнаруживало «нужный» MAC-адрес, обращалось к командно-контрольному серверу злоумышленников и скачивало с него дополнительные бэкдоры «второго уровня».
  • Если MAC-адрес не обнаруживался, программа работала в «спящем» режиме и не проявляла дополнительной сетевой активности, но всё ещё несёт угрозу пользователям.

Командно-контрольный сервер, который распространял бэкдоры «второго уровня», был зарегистрирован 3 мая 2018 года, но закрыт в ноябре, до обнаружения специалистами по кибербезопасности, поэтому получить копию вирусов пока не удается.

«Лаборатория Касперского» считает, что один из её клиентов заразился бэкдором «второго уровня», но компании неизвестна личность владельца компьютера, поэтому она не может связаться с ним для продолжения расследования

Проблема уязвимости обновлений и связь ShadowHammer с другими атаками

В 2012 году с помощью инструмента Flame Spy хакеры смогли перенаправить запросы службы обновления Windows на собственные сервера в обход Microsoft. Это не первый случай, когда злоумышленники маскируются под обновления приложений для заражения систем.

«Лаборатория Касперского» заявила, что раскрыла атаку в январе 2019 года после обновления технологии обнаружения «уязвимости цепочки поставок», которая отлавливает аномальные фрагменты кода в фирменных приложениях.

В 2017 году специалисты по кибербезопасности обнаружили две атаки на цепочку поставок — одна из них затронула приложение CCleaner, вторая распространяла вирус-вымогатель NotPetya через бухгалтерское ПО.

Точечная проверка MAC-адресов и «бесшумность» для остальных пользователей позволяла оставаться уязвимости незамеченной. Атака на Asus на уровень выше по сложности и скрытности, считает директор «Лаборатории Касперского» по глобальным исследованиям и анализу Костин Райю.

Это не первая атака группировки хакеров ShadowHammer: исследователи считают, что ранее она провела атаку ShadowPad на корпоративное ПО компании NetSarang, а также связана со взломом CCleaner.

По словам специалистов Avast, несмотря на то, что от атаки на CCleaner пострадало неколько миллионов человек, основной целью были крупные технологические и телекоммуникационные компании в Японии, Тайване, Великобритании, Германии и США.

Часть списка пострадавших от ShadowPad компаний, среди которых есть Asus Avast

«Лаборатория Касперского» полагает, что злоумышленники смогли получить доступ к серверам Asus после атаки на CCleaner — компания была одной из основных целей хакеров.

Технические подробности «Лаборатория Касперского» обещает сначала рассказать в апреле на конференции SAS 2019, а затем опубликовать полный отчет на сайте.

Реакция Asus

Изначально компания отрицала взлом сервера и распространение вредоносного ПО через приложение, несмотря на собранные доказательства, заявлют представители «Лаборатории Касперского» в публикации Motherboard. «Лаборатория Касперского» уведомила Asus о проблеме 31 января 2019 года, предоставив необходимую информацию для идентификации уязвимости.

По словам специалистов «Лаборатории Касперского», Asus всё ещё не признал недействительными сертификаты и продолжает подписывать вредоносный файл обновления. Срок одного из скомпрометированных сертификатов истек в середине 2018 года, поэтому злоумышленники переключились на другой.

14 февраля сотрудник Asus встретился со специалистами «Лаборатории Касперского», но до 26 марта никак не реагировала и не отвечала на запросы компании и издания Motherboard.

Компания считает, что атака была направлена на определенную группу пользователей и пострадало небольшое количество устройств. 26 марта 2019 года Asus заявила о выходе исправленной версии приложения, изменениях в серверной части, а также рассказала, что заражению подверглись только ноутбуки.

Как узнать, заражен ли компьютер

Чтобы проверить, не входит ли MAC-адрес в список приоритетных целей злоумышленников, «Лаборатория Касперского» выпустила бесплатное приложение (ссылка на архив) и запустила специальный сайт. «Лаборатория Касперского» продолжает расследование, рекомендует обновить Asus Live Update и проверить обновление с помощью антивирусов.

6. 26 марта 2019 года Asus выпустила обновленное приложение Live Update с версией 3. 8, в котором устранила уязвимость и предлагает использовать специальное приложение для проверки системы на уязвимости.

Проверка компьютера Asus 

Первое место занимает HP c 23,2% от всех поставленных за 2018 год ПК, далее следуют Lenovo (18,2%), Asus (13,6%), Acer (13,5%) и Dell (5,7%). По данным исследования IDC, российский рынок персональных компьютеров в 2018 году составил 5,79 млн штук.

Поставки ноутбуков в 2018 году составили 3,9 млн штук, наибольшее количество устройств выпущены под брендами HP, Lenovo и Asus.

#взлом #asus


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Во время испытания аварийных двигателей корабля Crew Dragon возникла авария

В будущем компания планирует провести пилотируемый полет в составе двух астронавтов, и поэтому проводит тщательные испытания ракеты, надеясь выявить и исправить все важные проблемы. В марте 2019 года компания SpaceX успешно пристыковала свой космический корабль Crew Dragon к Международной космической ...

«Это самые сильные люди, которые верят в себя»: почему Семён Дукач вкладывает деньги в проекты иммигрантов

«Это самые сильные люди, которые верят в себя»: почему Семён Дукач вкладывает деньги в проекты иммигрантов — Истории на vc.ru Свежее Вакансии Написать Уведомлений пока нет Пишите хорошие статьи, комментируйте,и здесь станет не так пусто Войти Главные цитаты основателя фонда ...