- PVSM.RU - https://www.pvsm.ru -

Киберпреступники пять месяцев контролировали ASUS Live Update

Киберпреступники пять месяцев контролировали ASUS Live Update - 1

Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.

Исследователи из «Лаборатории Касперского» обнаружили [1], что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.

Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:

image
[изображение — securelist.com]

Большинство зараженных объектов, обнаруженных экспертами «Лаборатории Касперского», находились в России (около 18%). По информации Symantec, минимум 13 000 компьютеров, принадлежащих клиентам компании, были заражены обновлением вредоносного программного обеспечения от ASUS в прошлом году в США.

Статистика заражений:

image
[изображение — securelist.com]

Предполагается, что злоумышленники должны были скомпрометировать около 600 целей, которые идентифицировались по MAC-адресам компьютеров.

Вредоносная программа искала целевые системы по их уникальным MAC-адресам. Попав в систему и обнаружив один из этих целевых адресов, вредоносная программа обращалась к командно-контрольному серверу, на котором работали злоумышленники, после чего на эти машины было установлено дополнительное вредоносное ПО.

В данной APT были задействованы следующие узлы:

С&C:
asushotfix[.]com
141.105.71[.]116

Распространение:
hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip

«Эта атака показывает, что используемая нами модель доверия, основанная на известных именах поставщиков и проверке цифровых подписей, не может гарантировать, что вы защищены от вредоносных программ», — отметил Виталий Камлюк, директор Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского». Он отметил, что ASUS никак не прокомментировала взлом и оставила без внимания сообщения от экспертов «Лаборатории Касперского» о взломанном сервисе и скомпрометированном сертификате.

В адрес компании направлены дополнительные запросы издательства Motherboard и компании Symantec.

Утилита для проверки [2], не входит ли ваш MAC-адрес в список приоритетных целей. Онлайн-проверка [3].

Автор: Jet CSIRT

Источник [4]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/asus/312593

Ссылки в тексте:

[1] обнаружили: https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/

[2] Утилита для проверки: https://kas.pr/shadowhammer

[3] Онлайн-проверка: https://shadowhammer.kaspersky.com/

[4] Источник: https://habr.com/ru/post/445256/?utm_source=habrahabr&utm_medium=rss&utm_campaign=445256