«Касперский»: проблема в ПО Asus угрожает миллиону пользователей его ПК

Взлом ПО Asus Хакеры ShadowHammer взломали систему обновления программногообеспечения Asus и устанавливали бэкдоры на компьютеры тайваньскогопроизводителя. Об этом в своем блоге сообщает обнаружившая проблему «ЛабораторияКасперского». Проблемной оказалась Asus Live Update — утилита, котораяпредустановлена на большей части компьютеров Asus и используется дляавтоматического онлайн-обновления определенных компонентов, таких как BIOS,UEFI, драйверы и приложения. По данным «Касперского», с помощью этой утилиты с июня поноябрь 2018 г. происходило распространение вредоносного кода. Атакующиевнедряли код в модифицированные старые версии ПО Asus, используя украденныецифровые сертификаты, которые применялись Asus для подписывания легитимныхбинарных файлов. После этого утилиты с встроенными троянцами подписывалисьлегитимными сертификатами и распространялись с официальных серверов обновлений Asus— liveupdate01s.asus.сom и liveupdate01.asus.com. Это делало их практическиневидимыми для абсолютного большинства защитных решений, отмечают в «Касперском». В утилите Asus Live Update обнаружена дыра Российские специалисты по безопасности отследили данную атакув начале 2019 г. «Мы связались с Asus и сообщили им о нападении 31 января 2019г., поддержав их расследование», — говорится в сообщении компании. На данныймомент расследование продолжается. Масштабы проблемы Согласно статистике «Касперского», среди пользователей егопродуктов скачали и установили версию Asus Live Update более 57 тыс. клиентов вРоссии, Германии, Франции и пр. «Мы не можем рассчитать общее количествозатронутых пользователей, основываясь только на наших данных, однако, по нашимоценкам, реальный масштаб проблемы намного больше и, возможно, затрагиваетболее миллиона пользователей по всему миру», — отмечают в компании. При этом необходимо понимать, что речь в данном случае идет лишьо потенциальных жертвах. Реальной целью злоумышленников в «Касперском» считают всегонесколько сотен конкретных устройств. Как обнаружили исследователи, код каждогобэкдора содержал таблицу со списком определенных MAC-адресов, уникальныхидентификационных кодов, которые присваиваются сетевым картам, чтобы компьютермог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входитли этот MAC-адрес в список. Если данное условие выполнялось, то загружалсяследующий модуль вредоносного кода. В противном случае эта утилита не проявляланикакой дополнительной сетевой активности, и именно поэтому атака так долгооставалась необнаруженной. В общей сложности исследователи смоглиидентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для болеечем 230 уникальных образцов вредоносного ПО. Специфический видатаки В «Касперском» характеризуют рассматриваемую атаку каквесьма изощренную и относят ее типу атаки по цепочке поставок. В компанииуказывают, что это сегодня один из наиболее опасных и эффективных векторовзаражения. «В подобных случаях злоумышленники стремятся обнаружитьуязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта,от этапа его разработки до момента поступления к пользователю, — пишутэксперты. — Атакующие ищут слабые места в человеческих, организационных,материальных и интеллектуальных ресурсах, необходимых для создания и реализациипродукта или услуги. Сам вендор при этом может быть полностью защищен, ноуязвимость в инфраструктуре его поставщика может нанести урон всей цепочкепоставок.» Короткая ссылка на материал: [url]#[/url] Ссылка на источник