[AKTUALIZACJA: odpowiedź ASUS] Posiadacze urządzeń ASUS przez kilka miesięcy byli ofiarami złośliwego kodu – sprawdź czy Twoje urządzenie nie jest zainfekowane

{reklama-artykul}Aktualizacja: ASUS przysłał oficjalną odpowiedź na temat ataków:

Odpowiedź ASUS na ostatnie doniesienia medialne dotyczące ataku na narzędzie ASUS Live Update przez grupy Advanced Persistent Threat (APT)

 

Ataki Advanced Persistent Threat (APT) to często ataki organizowane na poziomie krajowym, zwykle inicjowane przez kilka konkretnych krajów, skierowane do określonych organizacji międzynarodowych lub podmiotów zamiast konsumentów.

 

ASUS Live Update jest zastrzeżonym narzędziem dostarczanym z notebookami ASUS, aby zapewnić, że system zawsze korzysta z najnowszych sterowników i oprogramowania firmy ASUS. Pewna liczba urządzeń została zainfekowana szkodliwym kodem poprzez wyrafinowany atak na nasze serwery Live Update, próbując dotrzeć do określonej i wąskiej grupy użytkowników. Obsługa klienta ASUS kontaktuje się z dotkniętymi użytkownikami i zapewnia pomoc w celu usunięcia zagrożeń bezpieczeństwa.

 

Firma ASUS zaimplementowała także poprawkę w najnowszej wersji (wersja 3.6.8) oprogramowania Live Update, wprowadziła wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim szkodliwym manipulacjom w postaci aktualizacji oprogramowania lub innych środków, a także zaimplementowała ulepszony mechanizm szyfrowania. Jednocześnie zaktualizowaliśmy i wzmocniliśmy naszą architekturę oprogramowania typu serwer-klient, aby zapobiec podobnym atakom w przyszłości.

 

Ponadto stworzyliśmy narzędzie online do diagnostyki zabezpieczeń, aby sprawdzić systemy, których dotyczy problem.  Zachęcamy użytkowników do uruchomienia go jako środek ostrożności. Narzędzie można znaleźć tutaj.

 

Użytkowników, którzy mają dodatkowe obawy, prosimy o kontakt z działem obsługi klienta ASUS.

Oryginalna treść:

Porządny antywirus bez problemu poradzi sobie z wykryciem i pozbyciem się znanego, złośliwego kodu, który spróbuje zaatakować nasz komputer. Nieco gorzej jednak wygląda jego działanie w przypadku walki z nowym, bądź bardzo dobrze napisanym oprogramowaniem. Odczuć to mogą posiadacze sprzętów marki ASUS – przez kilka miesięcy ich laptopy oraz inne urządzenia były infekowane złośliwym kodem pochodzącym… wprost od producenta!

Rzecz jasna to nie ASUS dystrybuował złośliwy kod. Stoją za tym przestępcy, którzy przejęli kontrolę nad oficjalnym serwerem aktualizacji i regularnie modyfikowali nowe wersje software’u, który producent wysyłał na urządzenia.

Oprogramowanie nazwane ShadowHammer trafiało na sprzęty przy pomocy ASUS Live Update Utility. Złośliwy kod był dość spokojny – łączył się z siecią jedynie wtedy, kiedy było to naprawdę potrzebne. Ponadto mimo zainfekowania tysięcy osób (przynajmniej 57 000 posiadaczy antywirusa Kaspersky i 13 000 klientów Symantec), dotkliwie szkodził jedynie wybranym.

29 stycznia pracownicy z firmy Kaspersky wykryli, że od czerwca do listopada 2018 roku, aktualizacje pobierane przez sprzęt ASUS mimo poprawnego certyfikatu firmy, zainfekowane są złośliwym kodem. ShadowHammer mimo zainfekowania nie działał od razu na szkodę użytkownika. Najpierw musiał on sprawdzić czy sprzęt należy do jego ofiary.

Cele ataku były zaznaczone na zahardcorowanej liście adresów MAC. Po infekcji, wirus sprawdzał adres i w przypadku, gdy znajdował on się na liście celów, ShadowHammer pobierał kolejny wariant złośliwego kodu. Pochodzenie wybranych adresów MAC pozostaje tajemnicą.

Ich lista jest jednak ujawniona i jeżeli macie sprzęt ASUS to możecie sprawdzić czy Wasze urządzenie mogło paść ofiarą ataku. Wystarczy, że wejdziecie na tę stronę i wpiszecie na niej swój adres MAC. Jest to naprawdę istotne, ponieważ ofiary ataku znajdowały się również w Polsce. 

Kaspersky poinformował ASUSa o zagrożeniu 31 stycznia. Od tamtej pory jednak producent nie poruszył tego tematu, nie poinformował klientów, ani nawet nie odwołał certyfikatów, które wykorzystali przestępcy. 

Serwis Niebezpiecznik zbiera informacje od osób, które padły ofiarą ataku ShadowHammera, aby ustalić łączące ich cechy i  potencjalny cel przestępców.

Źródło: Niebezpiecznik

 

Ataki Advanced Persistent Threat (APT) to często ataki organizowane na poziomie krajowym, zwykle inicjowane przez kilka konkretnych krajów, skierowane do określonych organizacji międzynarodowych lub podmiotów zamiast konsumentów.

 

ASUS Live Update jest zastrzeżonym narzędziem dostarczanym z notebookami ASUS, aby zapewnić, że system zawsze korzysta z najnowszych sterowników i oprogramowania firmy ASUS. Pewna liczba urządzeń została zainfekowana szkodliwym kodem poprzez wyrafinowany atak na nasze serwery Live Update, próbując dotrzeć do określonej i wąskiej grupy użytkowników. Obsługa klienta ASUS kontaktuje się z dotkniętymi użytkownikami i zapewnia pomoc w celu usunięcia zagrożeń bezpieczeństwa.

 

Firma ASUS zaimplementowała także poprawkę w najnowszej wersji (wersja 3.6.8) oprogramowania Live Update, wprowadziła wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim szkodliwym manipulacjom w postaci aktualizacji oprogramowania lub innych środków, a także zaimplementowała ulepszony mechanizm szyfrowania. Jednocześnie zaktualizowaliśmy i wzmocniliśmy naszą architekturę oprogramowania typu serwer-klient, aby zapobiec podobnym atakom w przyszłości.

 

Ponadto stworzyliśmy narzędzie online do diagnostyki zabezpieczeń, aby sprawdzić systemy, których dotyczy problem.  Zachęcamy użytkowników do uruchomienia go jako środek ostrożności. Narzędzie można znaleźć tutaj:

 

Użytkowników, którzy mają dodatkowe obawy, prosimy o kontakt z działem obsługi klienta ASUS.