shadow hammer
2

Shadow Hammer. Nawet milion zainfekowanych komputerów ASUS

Czy ktoś sobie wyobraża sytuację, w której pobierane wprost z serwerów producenta aktualizacje i narzędzia do komputerów okazują się złośliwym oprogramowaniem? Do dzisiaj wydawało mi się to mało prawdopodobne.

ASUS to jeden z największych producentów komputerów stacjonarnych i laptopów na świecie. Tajwańska firma jest także bardzo popularna w Polsce i z jej rozwiązań korzysta tysiące Polaków. W zeszłym roku, przez kilka miesięcy, na oficjalnych serwerach oprogramowania ASUS Live Update Utility służącego do pobierania aktualizacji, programów i wielu narzędzi pomocnych przy obsłudze komputerów dystrybuowano poprawkę zawierającą w sobie złośliwe oprogramowanie pozwalające na zdalne przejęcie kontroli nad danym urządzeniem.

shadow hammer

Zobacz też: Apple ponownie pod ostrzałem. Kaspersky Lab zarzuca gigantowi praktyki monopolistyczne

O całej sytuacji informuje firma Kaspersky Lab, dostawca rozwiązań antywirusowych, której pracownicy zaobserwowali dziwne działanie wspomnianej wyżej aplikacji. To kolejny przykład ataku łańcucha dostaw. Podobnie było w 2017 r. gdzie jedno z najpopularniejszych narzędzi do czyszczenia komputera o nazwie CCleaner rozpowszechniało złośliwe oprogramowanie. Aktualizacja ASUS Live Update Utility dystrybuowana z oficjalnych serwerów ASUSa, zamiast nowej wersji programu, na komputerze instalowała backdoora. Największym jednak zaskoczeniem jest fakt, że zawierającą trojana poprawka podpisana była oficjalnym certyfikatem, co sprawiało, że nie była wykrywana jako zagrożenie.

Zobacz też: CCleaner rozsiewał malware. Tak, to ten, którego przejął niedawno Avast

Tym razem skala problemu jest dużo większa. ShadowHammer, bo tak został nazwany ten atak, nie został wykryty przez kilka miesięcy, a użytkownicy pobierali aktualizacje nie mając świadomości instalacji na swoich urządzeniach złośliwego oprogramowania. Szacunki Kaspersky Lab mówią o przynajmniej jednym milionie zainfekowanych urządzeń ASUSa. Firma informuje, że między czerwcem, a listopadem 2018 r. backdoor zainstalowany został na ponad 57 tys. komputerów (liczba ta odnosi się do komputerów, na których korzystano z oprogramowania Kaspersky wykrywającego złośliwe oprogramowanie). Kaspersky Lab poinformował o całym zajściu ASUS, ale do tej pory firma nie podjęła żadnych działań informacyjnych ani prewencyjnych.

shadow hammer

Kaspersky Lab uspokaja jednak, że atak ten nakierowany na konkretnych użytkowników, lecz zachęca do sprawdzenia swojego adresu MAC na specjalnie przygotowanej stronie, która pozwoli sprawdzić, czy atak był skierowany konkretnie na nasz komputer.

Źródło: Kaspersky Lab

Odpowiedź ASUS na ostatnie doniesienia medialne dotyczące ataku na narzędzie ASUS Live Update przez grupy Advanced Persistent Threat (APT)

Ataki Advanced Persistent Threat (APT) to często ataki organizowane na poziomie krajowym, zwykle inicjowane przez kilka konkretnych krajów, skierowane do określonych organizacji międzynarodowych lub podmiotów zamiast konsumentów.

ASUS Live Update jest zastrzeżonym narzędziem dostarczanym z notebookami ASUS, aby zapewnić, że system zawsze korzysta z najnowszych sterowników i oprogramowania firmy ASUS. Pewna liczba urządzeń została zainfekowana szkodliwym kodem poprzez wyrafinowany atak na nasze serwery Live Update, próbując dotrzeć do określonej i wąskiej grupy użytkowników. Obsługa klienta ASUS kontaktuje się z dotkniętymi użytkownikami i zapewnia pomoc w celu usunięcia zagrożeń bezpieczeństwa.

Firma ASUS zaimplementowała także poprawkę w najnowszej wersji (wersja 3.6.8) oprogramowania Live Update, wprowadziła wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim szkodliwym manipulacjom w postaci aktualizacji oprogramowania lub innych środków, a także zaimplementowała ulepszony mechanizm szyfrowania. Jednocześnie zaktualizowaliśmy i wzmocniliśmy naszą architekturę oprogramowania typu serwer-klient, aby zapobiec podobnym atakom w przyszłości.

Ponadto stworzyliśmy narzędzie online do diagnostyki zabezpieczeń, aby sprawdzić systemy, których dotyczy problem. Zachęcamy użytkowników do uruchomienia go jako środek ostrożności. Narzędzie można znaleźć tutaj:
https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

Użytkowników, którzy mają dodatkowe obawy, prosimy o kontakt z działem obsługi klienta ASUS.