Spoločnosť Asus dnes (26. marca) konečne vydala vyhlásenie týkajúce sa napadnutia vlastných serverov na aktualizáciu firmvéru, viac ako 24 hodín po tom, čo Vice Motherboard a Kaspersky Lab problém zverejnili a takmer dva mesiace po tom, čo spoločnosť Kaspersky Lab oznámila spoločnosti Asus, že jej servery boli napadnuté. .
Kredit: Roman Arbuzov/Shutterstock
„Malý počet zariadení bol implantovaný škodlivým kódom pomocou sofistikovaného útoku na naše servery Live Update v snahe zamerať sa na veľmi malú a konkrétnu skupinu používateľov,“ uvádza sa vo vyhlásení spoločnosti. „Zákaznícky servis Asus oslovuje dotknutých používateľov a poskytuje pomoc s cieľom odstrániť bezpečnostné riziká.“
Poškodený firmvér Asus bolo nakazených najmenej 70 000 zariadeniami Asus, ako to dokumentujú spoločnosti Kaspersky Lab a Symantec, ktoré tieto čísla získali z počítačov s vlastným antivírusovým softvérom týchto spoločností. Vedci z Kaspersky Lab odhadujú, že mohlo byť infikovaných milión počítačov Asus na celom svete, čo nie je pravdepodobne málo.
Spoločnosť Asus vo svojej tlačovej správe uviedla, že podnikla kroky na posilnenie zabezpečenia procesu aktualizácií, ale neuvádza, ako sa útočníkom-považovaným za čínsky hovoriacu skupinu hackerov s väzbami na čínsku vládu-podarilo vlámať sa na servery Asusu a ukradnúť certifikáty Asus na digitálne podpisovanie, ktoré overili, či je malware legitímny.
„Asus tiež implementoval opravu v najnovšej verzii (ver. 3.6.8) softvéru Live Update, predstavil viacero mechanizmov overovania zabezpečenia, aby sa zabránilo akejkoľvek svojvoľnej manipulácii vo forme aktualizácií softvéru alebo inými prostriedkami, a implementoval vylepšený koncový koncový šifrovací mechanizmus, “uvádza sa v tlačovom vyhlásení. „Súčasne sme tiež aktualizovali a posilnili softvérovú architektúru server-to-end, aby sme predišli podobným útokom v budúcnosti.“
V období od júna do novembra 2022-2023 bol malware doručený do počítačov Asus po celom svete priamo z vlastných služieb aktualizácie firmvéru spoločnosti Asus. Malvér vytvára „zadné vrátka“, ktoré umožňujú sťahovať a inštalovať ďalší malware bez autorizácie používateľa.
Malvér však spí takmer vo všetkých systémoch a aktivuje sa iba na konkrétne zacielených individuálnych počítačoch, ktorých adresy MAC - jedinečné identifikátory pre každý sieťový port - sa zhodujú s adresami z pevne zakódovaných zoznamov zabudovaných priamo v škodlivom softvéri.
Vedci spoločnosti Kaspersky identifikovali v zoznamoch prístupov asi 600 adries MAC, čo je skutočne „malá skupina používateľov“. Špecifiká sú však stále nejasné, pretože nevieme, na koho sa malware konkrétne zameriava, ani ako sa útočníci dostali na aktualizačné servery Asusu.
Spoločnosť Asus vydala aj „nástroj na diagnostiku zabezpečenia na kontrolu postihnutých systémov“, ktorý je možné stiahnuť na adrese https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
To dopĺňa nástroj Kaspersky Lab, ktorý kontroluje prítomnosť malvéru, a webovú stránku Kaspersky Lab, na ktorej môžete skontrolovať, či sa v zozname hitov škodlivého softvéru nenachádza žiadna zo sieťových adries MAC vášho počítača Asus.
Vedci spoločnosti Kaspersky uviedli, že na problém Asus informovali 31. januára, ale povedali Kim Zetterovi z Motherboard, že Asus pôvodne odmietol, že by jeho servery boli napadnuté.