Asus w końcu wydał dziś (26 marca) oświadczenie w sprawie włamania się do własnych serwerów aktualizacji oprogramowania, ponad 24 godziny po publicznym ujawnieniu problemu przez Vice Motherboard i Kaspersky Lab i prawie dwa miesiące po tym, jak Kaspersky Lab powiadomił Asusa o zhakowaniu jego serwerów .
Źródło: Roman Arbuzov/Shutterstock
„Niewielką liczbę urządzeń wszczepiono złośliwy kod w wyniku wyrafinowanego ataku na nasze serwery Live Update w celu zaatakowania bardzo małej i konkretnej grupy użytkowników” – czytamy w oświadczeniu firmy. „Obsługa klienta Asus kontaktowała się z dotkniętymi użytkownikami użytkownikami i zapewniała pomoc, aby zapewnić usunięcie zagrożeń bezpieczeństwa”.
Co najmniej 70 000 urządzeń Asusa zostało zainfekowanych uszkodzonym oprogramowaniem sprzętowym Asusa, co udokumentowały firmy Kaspersky Lab i Symantec, które uzyskały dane z komputerów PC z oprogramowaniem antywirusowym tych firm. Badacze z Kaspersky Lab szacują, że na całym świecie mogło zostać zainfekowanych milion komputerów Asus, co prawdopodobnie nie jest małą liczbą.
Asus powiedział w komunikacie prasowym, że podjął kroki w celu wzmocnienia bezpieczeństwa procesu aktualizacji, ale nie wspomniał o tym, jak atakującym – uważanym za chińskojęzyczną ekipę hakerską powiązaną z chińskim rządem – udało się włamać się na serwery Asusa i ukraść certyfikaty podpisu cyfrowego Asusa, które potwierdziły, że złośliwe oprogramowanie jest legalne.
„Asus wdrożył również poprawkę w najnowszej wersji (wer. 3.6.8) oprogramowania Live Update, wprowadził wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim złośliwym manipulacjom w postaci aktualizacji oprogramowania lub innych środków, oraz wdrożył ulepszony koniec- mechanizm szyfrowania do końca” – czytamy w oświadczeniu prasowym. „Jednocześnie zaktualizowaliśmy i wzmocniliśmy naszą architekturę oprogramowania serwer-użytkownik, aby zapobiec podobnym atakom w przyszłości”.
W okresie od czerwca do listopada 2022-2023 szkodliwe oprogramowanie było dostarczane do komputerów Asusa na całym świecie bezpośrednio z własnych usług aktualizacji oprogramowania układowego Asusa. Złośliwe oprogramowanie tworzy „tylne drzwi”, które umożliwiają pobieranie i instalowanie większej liczby złośliwego oprogramowania bez autoryzacji użytkownika.
Jednak złośliwe oprogramowanie jest uśpione w prawie wszystkich systemach, aktywując się tylko na specjalnie zaatakowanych indywidualnych komputerach, których adresy MAC – unikalne identyfikatory dla każdego portu sieciowego – odpowiadają tym na zakodowanych na stałe listach wbudowanych bezpośrednio w złośliwe oprogramowanie.
Badacze z firmy Kaspersky zidentyfikowali na listach trafień około 600 adresów MAC, co w rzeczywistości stanowi „mała grupa użytkowników”. Jednak szczegóły są nadal niejasne, ponieważ nie wiemy, kogo dokładnie atakuje złośliwe oprogramowanie ani w jaki sposób atakujący dostali się na serwery aktualizacji Asusa.
Firma Asus wydała również „narzędzie diagnostyczne do sprawdzania systemów, których dotyczy problem”, które można pobrać ze strony https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Uzupełnia to narzędzie Kaspersky Lab, które sprawdza obecność szkodliwego oprogramowania, oraz stronę internetową Kaspersky Lab, na której można sprawdzić, czy którykolwiek z sieciowych adresów MAC komputera Asus znajduje się na liście trafień szkodliwego oprogramowania.
Badacze z firmy Kaspersky powiedzieli, że powiadomili Asusa o problemie 31 stycznia, ale powiedzieli Kim Zetter z płyty głównej, że Asus początkowo zaprzeczył, jakoby jego serwery zostały zhakowane.