Masz urządzenie Asusa?...sprawdź czy nie zostałeś "oficjalnie" zainfekowany!
#1
ASUS to popularny w Polsce producent urządzeń elektronicznych, dlatego nie można tej informacji pominąć. Wg potwierdzonych informacji urządzenia tego producenta mogły zostać zainfekowane "oficjalnie" poprzez usługę aktualizacji. Więcej o tym w poniższym cytacie

Cytat:Przez kilka miesięcy użytkownicy sprzętu marki ASUS otrzymywali złośliwe aktualizacje. Wprost od producenta! Ale to nie firma ASUS infekowała swoich klientów a przestępcy, którzy przejęli kontrolę nad oficjalnym serwerem aktualizacji ASUSA i po cichu modyfikowali nowe wersje oprogramowania, które automatycznie i regularnie ASUS wgrywał swoim klientom na kupiony przez nich sprzęt, m.in. laptopy.


Atak wykrył Kaspersky, który ataku nie wykrył

Złośliwe oprogramowanie, któremu badacze nadali nazwę ShadowHammer, trafiało na sprzęt klientów ASUS-a przez aplikację ASUS Live Update Utility, która jest przez producenta instalowana domyślnie. Innymi słowy, jeśli kupiłeś laptopa ASUS-a, to zapewne w tle chodzi na nim właśnie ta aplikacja. Regularnie łączy się do internetu i pobiera oraz instaluje na komputerze użytkownika aktualizacje takie jak nowe wersja oprogramowania, sterowników czy BIOS/UEFI.

29 stycznia pracownicy firmy Kaspersky zorientowali się, że pobierane przez sprzęt ASUS-a aktualizacje, choć podpisane poprawnym certyfikatem tej firmy, są złośliwe. Przystąpiono do analizy i ustalono, że zainfekowane aktualizacje spływały na urządzenia klientów ASUS aż od czerwca do listopada 2018. Wprost z oficjalnych serwerów producenta: liveupdate01s.asus[.]com oraz liveupdate01.asus[.]com.

Antywirus Kasperskiego (podobnie jak i inne antywirusy) początkowo nie wykryły tego złośliwego kodu (tak właśnie skuteczne są antywirusy…), ale kiedy firma zorientowała się, co przegapiła, to odpytała odpowiednią sygnaturą swoich klientów i wyszło na to, że takich, co byli klientami ASUSA, zainstalowali malware jest wśród klientów Kasperkiego aż 57 000. To oznacza, że faktycznie ofiar będzie o wiele, wiele więcej.
(...)
Symantec, który potwierdził atak dziennikarce Vice, poinformował że wśród jego klientów jest 13 000 ofiar. W tym samym artykule pojawia się link do Reddita, gdzie już 9 miesięcy temu właściciele laptopów ASUS-a podejrzewali na podstawie komunikatów z ASUSFourceUpdater.exe, że coś jest nie tak. Ale ponieważ ani VirusTotal, ani Malwarebytes nie zgłaszały żadnych zastrzeżeń, temat “umarł śmiercią naturalną”.

Jak to możliwe, że antywirusy przegapiły ShadowHammera?

Zawsze to powtarzamy, że antywirusy reagują na znane zagrożenia i są raczej słabe w wykrywaniu złośliwego oprogramowania, które ktoś umiejętnie przygotuje (a nie jest to trudne). W przypadku tego ataku, złośliwy kod dołączony do prawdziwych aktualizacji był dość cichy i przede wszystkim dlatego tak długo pozostał niewykryty — prawie nie łączył się z siecią. Choć infekował setki tysięcy ofiar, to bardzo złe rzeczy robił tylko wybranym. A wybranych określał na podstawie zahardcodowanej listy MAC adresów.
Sprawdź czy jesteś ofiarą!

Kaspersky przeanalizował 200 próbek (miały różne listy celów) i skompilował listę ponad 600 adresów MAC urządzeń, na które polowali atakujący. Badacze stworzyli serwis, w którym możecie wpisać swój MAC i sprawdzić, czy byliście na liście — wystarczy kliknąć tutaj.

Jeśli ktoś był na tej liście, to backdoor ShadowHammer łączył się z domeną:

asushotfix.com (rejestracja: 3 maja 2018)
IP: 141.105.71[.]116

i dociągało kolejny wariant złośliwego kodu. Niestety, jest co najmniej kilku Polaków, którzy zostali zainfekowani drugim etapem ataku. Dzięki uprzejmości firmy Cisco, której rozwiązania są używane w części polskich sieci, możemy pokazać Wam liczbę zapytań DNS o ww. domenę z ostatnich 30 dni. Nie ma tego wiele, ale — urządzenia Cisco nie widzą całego ruchu DNS z Polski, no i mówimy jedynie o 30 ostatnich dniach, a apogeum ataku przypadało na czerwiec-listopad 2018.

Jeśli nie znajdziecie w swoich logach połączeń do powyższej domeny, to wcale nie oznacza, że nie jesteście/byliście zainfekowani. Oto sumy kontrolne zbackdoorowanego instalatora ASUS-a. Sprawdźcie, jakie ma Wasz:

aa15eb28292321b586c27d8401703494
bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19

ASUS milczy

Choć ASUS dostał cynka od Kasperskiego dokładnie 31 stycznia 2019 roku, to do tej pory nie poinformował swoich klientów i co gorsza, nie odwołał nawet certyfikatów, którymi przestępcy podpisywali oprogramowanie. Co więcej, ASUS dalej z nich korzysta…
Kontynuacja ataku na CCleanera?

Dwa lata temu pisaliśmy na Niebezpieczniku o ataku na CCleaner, który jest bardzo podobny do tego, co zdarzyło się w ASUS-ie. Co więcej, sam ASUS był ofiarą ataku na CCleanera! Czy to ta sama grupa? Kaspersky sądzi, że tak i zwraca uwagę, że działania osób stojących za ShadowHammerem są bardzo podobne do grupy, którą rozpracowywał ESET (a która atakowała “graczy”) oraz do działań grupy, jaką Microsoft ochrzcił mianem Barium.
Całość poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości