Bakdörr planterad i uppdateringar för över en halv miljon Asus-datorer

Med hjälp av Asus egna uppdateringsservrar, mjukvara och certifikat har hackare lyckats infektera åtminstone över en halv miljon datorer från den taiwanesiska hårdvarujätten.

Det finns flera sätt för hackare att angripa användare och storföretag. En metod är via så kallade bakdörrar, som gör det möjligt att kringgå normal autentisering, som lösenord, och krypteringar i system. Bakdörrar är av förklarlig skäl väl bevarade hemligheter som kan innebära katastrof om de hittar ut.

Nu framgår att hackare komprometterat "hundratusentals" datorer av Asus genom att nyttja en bakdörr för uppdateringsmjukvaran Asus Live Update. Denna är förinstallerad på datorer från Asus för att enkelt kunna uppdatera BIOS/UEFI, drivrutiner samt andra förinstallerade mjukvaror.

190322-shadowhammer-1-Asus.png

Digital signatur av en infekterade Asus Live Update-installerare
Certifikatets serienummer: 05e6a0be5ac359c7ff11f4b467ab20fc

Med tillgång till Asus uppdateringsservrar har hackarna kunnat distribuera skadliga filer, vilka sett legitima ut då de fått Asus digitala certifikat. Den skadliga koden uppges vara designad för att söka efter maskiner via MAC-adresser och har gett attackerarna tillgång till dessa system.

The goal of the attack was to surgically target an unknown pool of users, which were identified by their network adapters’ MAC addresses. To achieve this, the attackers had hardcoded a list of MAC addresses in the trojanized samples and this list was used to identify the actual intended targets of this massive operation. We were able to extract more than 600 unique MAC addresses from over 200 samples used in this attack. Of course, there might be other samples out there with different MAC addresses in their list.

Resultatet av detta är att uppskattningsvis över en halv miljon Asus-datorer med Windows fått bakdörrar installerade genom Asus uppdateringsservrar. Kaspersky som upptäckte attacken skriver dock att det är svårt att få en bra översikt kring omfattningen och att över en miljon system kan ha infekterats.

Trots att omfattningen infekterade system beräknas vara stor ska attackerarna endast ha riktat sin uppmärksamhet mot en mindre andel system, och det är ännu inte känt varför de valt att fokusera på en så liten andel datorer. För att se om du är drabbad finns en verktyg att ladda hem på Kaspersky Labs webbplats.

Hackerattacken, som fått namnet Shadowhammer, upptäcktes sent förra året av Kaspersky Lab som sedan den 31 januari i år informerat och assisterat Asus i utredningen. Säkerhetsföretaget Symantec har också kunnat identifiera och bekräfta att attacken mot Asus-datorer ägt rum.

Exakt hur attacken möjliggjorts är inte känt, men det spekuleras i att det handlar om ett insiderjobb där Asus-anställda är involverade. Asus som en av världens stora datortillverkare med en global marknadsandel på 6 procent har därtill en lång leveranskedja, från fabriker till utvecklare, med tillgång till certifikaten som hamnat i orätta händer.

SweClockers har kontaktat Asus Nordic, som inte vill kommentera uppgifterna i väntan på ett officiellt uttalande från huvudkontoret senare under tisdagen.

Källa: Kaspersky, Motherboard

Tack för tipset iBurningMan