«Лаборатория Касперского» обнаружила проблему в утилите Asus для автоматических обновлений ПО на ПК. Конкретных пострадавших — сотни, потенциальных — свыше миллиона.

Взлом ПО Asus

Хакеры ShadowHammer взломали систему обновления программного обеспечения Asus и устанавливали бэкдоры на компьютеры тайваньского производителя. Об этом в своем блоге сообщает обнаружившая проблему «Лаборатория Касперского».

Проблемной оказалась Asus Live Update — утилита, которая предустановлена на большей части компьютеров Asus и используется для автоматического онлайн-обновления определенных компонентов, таких как BIOS, UEFI, драйверы и приложения.

По данным «Касперского», с помощью этой утилиты с июня по ноябрь 2018 г. происходило распространение вредоносного кода. Атакующие внедряли код в модифицированные старые версии ПО Asus, используя украденные цифровые сертификаты, которые применялись Asus для подписывания легитимных бинарных файлов. После этого утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений Asus — liveupdate01s.asus.сom и liveupdate01.asus.com. Это делало их практически невидимыми для абсолютного большинства защитных решений, отмечают в «Касперском».

Российские специалисты по безопасности отследили данную атаку в начале 2019 г. «Мы связались с Asus и сообщили им о нападении 31 января 2019 г., поддержав их расследование», — говорится в сообщении компании. На данный момент расследование продолжается.

Масштабы проблемы

Согласно статистике «Касперского», среди пользователей его продуктов скачали и установили версию Asus Live Update более 57 тыс. клиентов в России, Германии, Франции и пр. «Мы не можем рассчитать общее количество затронутых пользователей, основываясь только на наших данных, однако, по нашим оценкам, реальный масштаб проблемы намного больше и, возможно, затрагивает более миллиона пользователей по всему миру», — отмечают в компании.

При этом необходимо понимать, что речь в данном случае идет лишь о потенциальных жертвах. Реальной целью злоумышленников в «Касперском» считают всего несколько сотен конкретных устройств. Как обнаружили исследователи, код каждого бэкдора содержал таблицу со списком определенных MAC-адресов, уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети.

После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО.

Специфический вид атаки

В «Касперском» характеризуют рассматриваемую атаку как весьма изощренную и относят ее типу атаки по цепочке поставок. В компании указывают, что это сегодня один из наиболее опасных и эффективных векторов заражения.

«В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю, — пишут эксперты. — Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги. Сам вендор при этом может быть полностью защищен, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок».