1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

ASUS подтвердила наличие бэкдора в утилите Live Update

ASUS подтвердила наличие бэкдора в утилите Live Update

.
Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.

Исследователи из «Лаборатории Касперского» обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.

Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc
.

Пусть будет.
Но вообще количество инцидентов с перехватом контроля над сайтами фирм и системами автоматического обновления как-то угнетает. Особенно в сочетании с и без того сильно не идеальным поведением компаний, любящих разослать что-нибудь эдакое и вполне самостоятельно, с коммерческим интересом.

.
На этот раз скомпрометированным оказался сервис и ПО WebStorage. С его помощью хакерская группа BlackTech Group устанавливала на компьютеры жертв вредоносное программное обеспечение Plead. Точнее, японский специалист по кибербезопасности компания Trend Micro считает ПО Plead инструментом группы BlackTech, что позволяет с определённой степенью точности определить злоумышленников. Добавим, группа BlackTech специализируется на кибершпионаже, а объектами её внимания считаются государственные институты и компании в Юго-Восточной Азии.
.
Хакеры внедрили Plead в программу ASUS Webstorage Upate.exe, которая является фирменным инструментом компании для обновлений ПО. Затем бэкдор активировался также фирменной и доверенной программой ASUS WebStorage.

По мнению специалистов, внедрить бэкдор в утилиты ASUS хакеры смогли благодаря недостаточной защите в протоколе HTTP с помощью так называемой атаки «человек посредине» (man-in-the-middle). Запрос на обновление и передачу файлов с сервисов ASUS по HTTP может быть перехвачен, и вместо доверенного ПО жертве передаются заражённые файлы. В то же время у ПО ASUS отсутствуют механизмы проверки подлинности загруженных программ перед выполнением на компьютере жертвы. Перехват обновления возможен на скомпрометированных маршрутизаторах.
.
Сервис ASUS Cloud оперативно отреагировал на уязвимость и обновил механизмы на сервере обновлений. Тем не менее, компания рекомендует пользователям проверить собственные компьютеры на наличие вирусов.
.

Nalaghar Aleant_tar: Был такой невероятный сказочник — лорд Дансени. И был мир, который был миф. И вот — неожиданно (потому что чуда никогда не ждёшь) и. естественно (потому что сказка всегда живая))) ты опять попадаешь . >> Был такой невероятный сказочник — лорд Дансени. И был мир, который был миф. И вот — неожиданно (потому что чуда никогда не ждёшь) и. естественно (потому что сказка всегда живая))) ты опять попадаешь в миф, который мир. Просто потому, что тебя туда привела Алтея — волшебница с травяным именем.

Злоумышленники внедрили бэкдор в утилиту ASUS Live Update (Обновлено)

Вредоносная версия утилиты была подписана украденным сертификатом и распространялась с официального сервера ASUS.

Специалисты «Лаборатории Касперского» предупредили о новой вредоносной кампании, нацеленной на пользователей компьютеров ASUS. Киберпреступная группировка ShadowHammer взломала утилиту ASUS Live Update для доставки обновлений BIOS, UEFI и ПО на лэптопы и стационарные компьютеры ASUS, внедрила в нее бэкдор и распространяла через официальные каналы.

Злоумышленники брали старые версии утилиты и внедряли в них вредоносный код, используя украденные цифровые сертификаты, применявшиеся ASUS для подписи легитимных файлов. Для того чтобы вредоносная версия не вызывала никаких подозрений, киберпреступники сделали ее размер точно таким же, как у оригинала. Поскольку модифицированная ASUS Live Update была подписана легитимным сертификатом и хранилась на официальном сервере ASUS, она долгое время оставалась незамеченной.

Сколько раз вредоносная версия программы была загружена пользователями, в «Лаборатории Касперского» не уточняют. По их данным, ASUS Live Update с бэкдором установили более 57 тыс. пользователей продуктов ЛК. Общее число заражений может достигать миллиона, считают эксперты.

Судя по вшитым в различные версии утилиты хэшам, по-настоящему киберпреступников интересовали только 600 определенных MAC-адресов. После запуска на зараженном устройстве вредонос проверял, есть ли его MAC-адрес в списке. В случае наличия адреса на систему загружался еще один вредоносный модуль. Если адрес в списке не значился, утилита не проявляла никакой активности, поэтому атака долгое время оставалась необнаруженной.

Читать еще:  Мертворождённый электромобиль Dyson может стать донором технологий

Атаки на цепочку поставок являются одним из самых опасных и эффективных векторов заражения, предупреждают специалисты «Лаборатории Касперского». Напомним, в сентябре 2017 года злоумышленники внедрили бэкдор в CCleaner от компании Avast. Вредоносную версию утилиты загрузили несколько миллионов пользователей.

Обновлено: Во вторник, 26 марта, компания Asus выпустила обновление, призванное защитить пользователей от кибератак через модифицированную версию утилиты. По данным производителя, вредоносное приложение было установлено лишь на «небольшое число устройств».

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

В ASUS Live Update был внедрён бэкдор

Антивирусная компания «Лаборатория Касперского» сообщила об обнаружении новой целевой атаки на цепочку поставок. Исследование компании выявило, что мишенями злоумышленников ShadowHammer были пользователи ASUS Live Update – утилиты для обновления драйверов в режиме онлайн. В период с июня по ноябрь 2018 года атакующие внедрили в это ПО бэкдор, который, по оценкам экспертов «Лаборатории Касперского», поставил под угрозу безопасность более миллиона пользователей по всему миру.

Атаки на цепочку поставок – один из наиболее опасных и эффективных векторов заражения, который в последнее время всё чаще используется при целевых атаках. Известные примеры – ShadowPad и CCleaner. В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю. Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги. Сам вендор при этом может быть полностью защищён, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок, что способно привести к серьёзной утечке данных.

Создатели ShadowHammer использовали ASUS Live Update как первоначальный источник заражения. Эта утилита предустанавливается на большинстве новых компьютеров ASUS с целью автоматического обновления системного ПО (включая BIOS, UEFI, приложения и драйверы). Атакующие внедряли вредоносный код в модифицированные старые версии ПО ASUS, используя украденные цифровые сертификаты, которые применялись ASUS для подписывания легитимных бинарных файлов. После чего утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений ASUS, что делало их практически невидимыми для абсолютного большинства защитных решений.

Хотя это и означает, что потенциально каждый пользователь такого ПО мог стать жертвой атаки, реальной целью создателей ShadowHammer было всего несколько сотен конкретных устройств. Как обнаружили исследователи «Лаборатории Касперского», код каждого бэкдора содержал таблицу со списком определённых MAC-адресов, то есть уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО, у каждого из которых был различный шелл-код.

При исполнении вредоносного кода применялся модульный подход и были предприняты дополнительные меры предосторожности, чтобы предотвратить случайную утечку кода или данных. Это указывает на то, что злоумышленникам было очень важно оставаться незамеченными, атаки же на определённые цели они проводили с хирургической точностью. Глубокий технический анализ показывает, что арсенал ShadowHammer очень продвинут и подразумевает крайне высокий уровень разработки в группе.

Поиск схожего вредоносного ПО выявил, что в программном обеспечении ещё трёх вендоров в Азиатском регионе были обнаружены бэкдоры, которые использовали похожие методы и техники. «Лаборатория Касперского» сообщила ASUS и другим компаниям об обнаруженной проблеме.

ASUS подтвердила наличие бэкдора в утилите Live Update

Недавно «Лаборатория Касперского» раскрыла необычную кибератаку, жертвами которой могли стать порядка миллиона пользователей портативных и настольных компьютеров ASUS. Расследование показало, что киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая используется для обновления BIOS, UEFI и ПО материнских плат и ноутбуков тайваньской компании. Вслед за этим злоумышленники организовали распространение модифицированной утилиты через официальные каналы.

ASUS подтвердила этот факт, опубликовав специальный пресс-релиз по поводу атаки. Согласно официальному заявлению производителя, Live Update — инструмент обновления ПО для устройств компании — подвергся атакам класса APT (Advanced Persistent Threat). Термин APT используется в индустрии для характеристики государственных хакеров или, реже, высокоорганизованных преступных групп.

Читать еще:  ASUS ROG Phone II: представлен самый мощный Android-смартфон на данный момент

«В небольшое количество устройств был внедрён вредоносный код посредством сложной атаки на наши серверы Live Update в попытке нацелиться на очень небольшую и конкретную группу пользователей, — сообщается в пресс-релизе ASUS. — Служба поддержки ASUS работает с подвергнутыми атаке пользователями и предоставляет помощь для устранения угроз безопасности».

«Небольшое количество» несколько противоречит информации «Лаборатории Касперского», которая заявила, что обнаружила вредоносное ПО (названное ShadowHammer) на 57 тысячах компьютеров. При этом, по оценкам специалистов по безопасности, многие другие устройства тоже могли быть подвергнуты взлому.

В пресс-релизе ASUS говорится, что бэкдор был удалён из последней версии утилиты Live Update. ASUS также сообщила, что обеспечивала комплексное шифрование и дополнительные инструменты проверки безопасности для защиты клиентов. Кроме того, ASUS создала инструмент, который, по её утверждению, определит, была ли подвергнута атаке конкретная система, а также предложила обеспокоенным пользователям обращаться в её службу поддержки.

Как сообщается, атака происходила в 2018 году в течение не менее пяти месяцев, а «Лаборатория Касперского» обнаружила бэкдор в январе 2019 года.

Операция ShadowHammer: из-за взлома ASUS Live Update более миллиона устройств заразили бэкдором

Xakep #252. Чемоданчик хакера

Специалисты «Лаборатории Касперского» рассказали о вредоносной кампании, получившей название «Операция ShadowHammer». Произошедшее можно описать как классическую атаку на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update. Он используется для обновления BIOS, UEFI, драйверов и приложений. Вредоносные версии были размещены на liveupdate01s.asus[.]com и liveupdate01.asus[.]com.

По данным исследователей, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода), и затронула множество владельцев устройств Asus.

За это время ASUS Live Update с бэкдором загрузили и установили на свои машины более 57 000 пользователей продуктов «Лаборатории Касперского». И хотя оценить весь масштаб произошедшего весьма сложно (эксперты полагались только на достоверные данные, полученные от пользователей продуктов «Лаборатории Касперского»), аналитики считают, что в общей сложности из-за случившегося пострадали более миллиона человек по всему миру.

По данным исследователей, больше всего жертв вредоносного ASUS Live Updater проживают в России, Германии и Франции. Однако нужно помнить о том, что эти цифры учитывают лишь пользователей продуктов «Лаборатории Касперского», а глобальная статистика может существенно отличаться.

Интересно, что при таком большом размахе атаки изначальной целью злоумышленников был сравнительно небольшой пул пользователей: их «опознавали» по MAC-адресам сетевых адаптеров. Для этого использовался захордкоженный список MAC-адресов, с которым сверялась малварь. Изучив около 200 вредоносных образцов, экспертам удалось обнаружить более 600 таких MAC-адресов, хэши которых были зашиты в различные версии утилиты. Изучить малварь второй стадии, которая загружалась на устройства из этого списка, экспертам пока не удалось из-за малого числа пострадавших.

In some cases, the #shadowhammer backdoor checks both the NIC and WiFi adapter MACs to identify the victim for further exploitation. Second stage is deployed only if both addresses match. It was really that targeted.

Впрочем, в ряде случаев с MAC-адресами могла выйти промашка. Виталий Камлюк, директор Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского», пишет в Twitter, что в списках малвари числились и стандартные MAc-адреса для VMware VMNet8 (00:50:56:C0:00:08) и Huawei E3772 USB 4G (0C:5B:8F:27:9A:64).

Apparently, one of the MACs targeted by #ShadowHammer is used on thousands of hosts: it is VMware VMNet8 adapter with default MAC 00:50:56:C0:00:08. If you got one of those — don’t freak out. You were probably just a collateral target. Check if you ran ASUS Live Updater in 2018.

— Vitaly Kamluk (@vkamluk) March 26, 2019

Another case is 0C:5B:8F:27:9A:64. This one is used by Huawei E3772 USB 4G dongle and seems to be the same for all owners of such devices. Looks like #ShadowHammer targeting wasn’t accurate in some cases and could cause unplanned infections.

— Vitaly Kamluk (@vkamluk) March 26, 2019

Не менее интересен и тот факт, что зараженные версии апдейтера были подписаны двумя действительными сертификатами ASUSTeK Computer Inc. Один из них истек в середине 2018 года, и тогда атакующие переключились на второй, который до сих пор не был отозван.

Читать еще:  «Колебаться — значит проиграть»: энтузиаст заменил всех врагов в Sekiro на последнего босса

«Лаборатория Касперского» уведомила Asus о происходящем еще в конце января 2019 года, предоставив компании все необходимые индикаторы компрометации и описание малвари. Издание Vice Motherboard, со ссылкой на уже упомянутого выше Виталия Камлюка, сообщает, что в январе представители Asus отрицали тот факт, что их сервер скомпрометирован, невзирая на очевидные тому доказательства. В феврале 2019 года представители «Лаборатории Касперского» и Asus провели личную встречу, но после этого Asus практически перестала отвечать экспертам и до сих пор не уведомила о случившемся своих пользователей.

Также стоит отметить, что выводы «Лаборатории Касперского» уже подтвердили их коллеги из Symantec, сообщив, что наблюдают как минимум 13 000 пострадавших среди пользователей своих продуктов.

ИБ-эксперты уже создали специальную утилиту, которая позволяет проверить, не стало ли ваше устройство целью злоумышленников: этот инструмент сравнивает MAC-адреса с упомянутым списком. Также можно воспользоваться онлайн-версией.

Кроме того, отмечается, что случившееся во многом похоже на другие известные атаки на цепочку поставок. В частности, исследователи упоминают известный инцидент 2017 года, связанный с малварью ShadowPad. Тогда было скомпрометировано популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. Позже аналитики Microsoft связали вредоноса ShadowPad с APT-группировкой BARIUM, также известной благодаря использованию бэкдора Winnti. Всего две недели назад эксперты ESET рассказывали о другой вредоносной кампании этой группы, в ходе которой были атакованы азиатские игровые компании.

Детальный технический отчет о случившемся специалисты «Лаборатории Касперского» планируют обнародовать на конференции SAS 2019, что стартует 8 апреля 2019 года в Сингапуре.

Иллюстрации: «Лаборатория Касперского»

Asus выпустила обновление для Live Update и подтвердила факт компрометации

Вчера эксперты «Лаборатории Касперского» рассказали, что компания Asus стала жертвой вредоносной кампании ShadowHammer. Неизвестные злоумышленники скомпрометировали производителя, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update. Выводы аналитиков «Лаборатории Касперского» подтвердили их коллеги из компании Symantec.

Эксперты предупреждали, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода) и суммарно могла затонуть более миллиона устройств по всему миру, хотя изначальной целью атакующих был сравнительно небольшой пул пользователей. Злоумышленники «опознавали» своих жертв по зашитому в скомпрометированную утилиту списку MAC-адресов (исследователи обнаружили более 600 таких хэшей).

При этом представители Asus хранили молчание. К тому же выяснилось, что изначально производитель вообще отрицал факт компрометации своих серверов, пытался вынудить сотрудников «Лаборатории Касперского» подписать соглашение о неразглашении, а потом практически перестал поддерживать со специалистами контакт.

Так как вчера о случившемся стало известно всему миру, представители Asus были вынуждены выпустить официальный пресс-релиз, который, получился несколько странным. Так, в компании сообщили о релизе ASUS Live Update версии 3.6.8, содержащей исправления (то есть закрывающей «дыру», через которые хакеры поставляли бэкдоры на машины пользователей). При этом не совсем ясно, удаляет ли обновление все следы присутствия зараженной версии из системы. Также неясно, достаточно ли установки версии 3.6.8 для всех пострадавших, или пользователям, которые входили в список целей злоумышленников, уже пора бросать все дела и как минимум переустанавливать ОС.

Для предотвращения подобных инцидентов в будущем защитные механизмы утилиты были улучшены, а также появилось end-to-end шифрование. Кроме того, в Asus уверяют, что обновили и улучшили всю архитектуру, с помощью которой конечные пользователи «общаются» с серверами компании.

Также документ гласит, что произошедшая атака была не такой уж масштабной: якобы злоумышленников интересовала очень небольшая и специфическая группа пользователей, и вредоносный код проник на крайне малое количество устройств. Более того, производитель утверждает, что пострадали только владельцы ноутбуков. Никаких конкретных цифр представители Asus не называют, хотя у компании, в отличие от исследователей, есть доступ ко всем необходимым логами, и о проблеме в компании узнали еще два месяца тому назад.

В завершение стоит заметить, что «Лаборатория Касперского» вообще не упомянута в пресс-релизе Asus. Вместо этого к документу приложена ссылка на отчет компании FireEye, в общих чертах рассказывающий о деятельности APT-группировок, никак не связанных с данным инцидентом.

К сожалению, это не первый раз, когда компанию Asus уличают в применении слабых мер безопасности. Так, Федеральная торговая комиссия США уже судилась с Asus, и в 2016 году стороны пришли к соглашению, согласно которому в ближайшие 20 лет безопасность компании будут регулярно проверять независимые аудиторы. Впрочем, тогда речь шла только о подразделении, разрабатывающем домашние роутеры.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector