Společnost Asus dnes (26. března) konečně vydala prohlášení týkající se hackování vlastních serverů pro aktualizaci firmwaru, více než 24 hodin poté, co Vice Motherboard a Kaspersky Lab problém veřejně odhalily a téměř dva měsíce poté, co společnost Kaspersky Lab oznámila společnosti Asus, že její servery byly hacknuty. .
Zápočet: Roman Arbuzov/Shutterstock
„Malý počet zařízení byl implantován se škodlivým kódem sofistikovaným útokem na naše servery Live Update ve snaze zaměřit se na velmi malou a konkrétní skupinu uživatelů,“ uvádí se v prohlášení společnosti. „Zákaznický servis Asus oslovuje postižené uživatele a poskytuje pomoc, aby zajistil odstranění bezpečnostních rizik.“
Jak je dokumentováno společnostmi Kaspersky Lab a Symantec, které byly získány z počítačů s vlastním antivirovým softwarem těchto společností, bylo infikováno poškozeným firmwarem Asus nejméně 70 000 zařízení. Vědci společnosti Kaspersky Lab odhadují, že mohlo být infikováno milion počítačů Asus po celém světě, což pravděpodobně není málo.
Asus ve své tiskové zprávě uvedl, že podnikl kroky k posílení zabezpečení procesu aktualizace, ale nezmínil, jak se útočníkům-považovaným za čínsky mluvící hackerskou posádku s vazbami na čínskou vládu-podařilo proniknout na servery Asus a ukrást certifikáty digitálního podpisu Asus, které ověřily malware jako legitimní.
„Asus také implementoval opravu v nejnovější verzi (ver. 3.6.8) softwaru Live Update, zavedl několik mechanismů ověřování zabezpečení, které zabraňují jakékoli škodlivé manipulaci ve formě aktualizací softwaru nebo jinými prostředky, a implementoval vylepšený koncový šifrovací mechanismus typu end-end, “uvádí tiskové prohlášení. "Současně jsme také aktualizovali a posílili naši softwarovou architekturu server-to-end, abychom zabránili podobným útokům v budoucnu."
V období od června do listopadu 2022-2023–2022 byl malware dodán do počítačů Asus po celém světě přímo z vlastních služeb aktualizace firmwaru společnosti Asus. Malware vytváří „zadní vrátka“, která umožňuje stahovat a instalovat další malware bez autorizace uživatele.
Malware však spí téměř ve všech systémech a aktivuje se pouze na specificky cílených individuálních počítačích, jejichž adresy MAC - jedinečné identifikátory pro každý síťový port - odpovídají těm na pevně zakódovaných seznamech zabudovaných přímo do malwaru.
Vědci společnosti Kaspersky identifikovali v seznamech požadavků asi 600 MAC adres, což je skutečně „malá skupina uživatelů“. Specifika jsou ale stále nejasná, protože nevíme, na koho přesně se malware zaměřuje, ani jak se útočníci dostali na aktualizační servery Asusu.
Asus také vydal „bezpečnostní diagnostický nástroj ke kontrole postižených systémů“, který lze stáhnout na adrese https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
To doplňuje nástroj Kaspersky Lab, který kontroluje přítomnost malwaru, a webovou stránku Kaspersky Lab, kde můžete zkontrolovat, zda není některá ze síťových adres MAC vašeho počítače Asus v seznamu hitů malwaru.
Vědci z Kaspersky uvedli, že na problém Asus upozornili 31. ledna, ale Kim Zetterovi z Motherboard sdělili, že Asus původně popřel, že by jeho servery byly hacknuty.
