up_icon
Asus Security

Χάκαραν τους servers του ASUS Live Update, χιλιάδες υπολογιστές ASUS μολύνθηκαν με malware [Update]

27 Μαρτίου 2019 Yannis Elpidis

Χάκαραν τους servers του ASUS Live Update, χιλιάδες υπολογιστές ASUS μολύνθηκαν με malware [Update]

Η Kaspersky Lab αποκάλυψε μία νέα εκστρατεία επιθέσεων τύπου APT (Advanced Persistent Threat), η οποία έχει επηρεάσει μεγάλο αριθμό χρηστών μέσω επιθέσεων σε συστήματα εφοδιαστικής αλυσίδας. Κατά τη διάρκεια της έρευνας διαπιστώθηκε ότι οι απειλητικοί φορείς πίσω από το Operation ShadowHammer έχουν στοχεύσει τους χρήστες του ASUS Live Update Utility, εισάγοντας ένα backdoor σε αυτό, τουλάχιστον μεταξύ Ιουνίου και Νοεμβρίου 2018, θέτοντας σε κίνδυνο πάνω από μισό εκατομμύριο χρήστες παγκοσμίως.

Μια επίθεση σε σύστημα εφοδιαστικής αλυσίδας είναι ένας από τους πιο επικίνδυνους και αποτελεσματικούς φορείς μόλυνσης, για αυτόν τον λόγο παρατηρείται συνεχώς αύξηση τέτοιων επιθέσεων τα τελευταία χρόνια - όπως έχουμε δει με το ShadowPad ή το CCleaner. Στόχος είναι συνήθως συγκεκριμένες αδυναμίες στα διασυνδεδεμένα συστήματα ανθρώπινων, οργανωτικών, υλικών και πνευματικών πόρων που εμπλέκονται στον κύκλο ζωής του προϊόντος: από το αρχικό στάδιο ανάπτυξης μέχρι τον τελικό χρήστη. Ενώ η υποδομή ενός προμηθευτή μπορεί να είναι ασφαλής, θα μπορούσαν να υπάρχουν τρωτά σημεία στις εγκαταστάσεις των παρόχων που θα υπονόμευαν την εφοδιαστική αλυσίδα, οδηγώντας σε μια καταστροφική παραβίαση δεδομένων.

Οι φορείς πίσω από το ShadowHammer στόχευσαν το ASUS Live Update Utility ως αρχικό σημείο επίθεσης. Πρόκειται για ένα προεγκατεστημένο βοηθητικό πρόγραμμα στους περισσότερους νέους υπολογιστές ASUS, για αυτόματες ενημερώσεις BIOS, UEFI, drivers και εφαρμογών. Υποκλέπτωντας ψηφιακά στοιχεία σύνδεσης που χρησιμοποιεί ήδη η ASUS για να υπογράψουν νόμιμα αρχεία, οι επιτιθέμενοι έχουν παραβιάσει παλαιότερες εκδόσεις του λογισμικού ASUS, εισάγοντας το δικό τους κακόβουλο κώδικα. Μολυσμένες εκδόσεις του βοηθητικού προγράμματος έφεραν νόμιμα πιστοποιητικά, ενώ φιλοξενούνταν και διανεμήθηκαν από επίσημους διανομείς ενημερώσεων ASUS - γεγονός που τους καθιστούσε ως επί το πλείστον ασφαλείς για τη συντριπτική πλειονότητα των λύσεων προστασίας.

Παρόλο που αυτό σημαίνει ότι δυνητικά κάθε χρήστης του λογισμικού που επηρεάστηκε θα μπορούσε να γίνει θύμα, οι φορείς πίσω από το ShadowHammer επικεντρώθηκαν στην πρόσβαση σε αρκετές εκατοντάδες χρηστών, για τους οποίους είχαν προηγουμένη γνώση. Όπως ανακάλυψαν οι ερευνητές της Kaspersky Lab, κάθε κώδικας backdoor περιελάμβανε έναν πίνακα με MAC διευθύνσεις - το μοναδικό αναγνωριστικό των προσαρμογέων δικτύου που χρησιμοποιούνται για τη σύνδεση ενός υπολογιστή με ένα δίκτυο. Μόλις τρέξει στη συσκευή ενός θύματος, το backdoor επαλήθευε τη διεύθυνση MAC του σε αυτόν τον πίνακα. Εάν η διεύθυνση MAC ταίριαζε με μία από τις καταχωρίσεις, το κακόβουλο πρόγραμμα «κατέβαζε» το επόμενο στάδιο κακόβουλου κώδικα. Διαφορετικά, το πρόγραμμα ενημέρωσης δεν παρουσίαζε καμία δραστηριότητα δικτύου, γι' αυτό παρέμεινε ανεξερεύνητο για τόσο μεγάλο χρονικό διάστημα. Συνολικά, οι ειδικοί ασφαλείας ήταν σε θέση να προσδιορίσουν περισσότερες από 600 διευθύνσεις MAC.

Η πολύπλευρη προσέγγιση και οι πρόσθετες προφυλάξεις που λαμβάνονται κατά την εκτέλεση του κώδικα για την αποφυγή τυχαίων διαρροών κώδικα ή δεδομένων, δείχνουν ότι ήταν πολύ σημαντικό για τους φορείς που κρύβονταν πίσω από αυτή την εξελιγμένη επίθεση να παραμείνουν στη σκιά, ενώ χτύπησαν ορισμένους πολύ συγκεκριμένους στόχους με χειρουργική ακρίβεια. Η βαθιά τεχνική ανάλυση δείχνει ότι το «οπλοστάσιο» των εισβολέων είναι πολύ προηγμένο και αντικατοπτρίζει ένα πολύ υψηλό επίπεδο ανάπτυξης μέσα στην ομάδα.

Η αναζήτηση παρόμοιου κακόβουλου λογισμικού έχει φέρει στην επιφάνεια λογισμικό από τρεις άλλους προμηθευτές στην Ασία, όλα με backdoored με πολύ παρόμοιες μεθόδους και τεχνικές. Η Kaspersky Lab έχει αναφέρει το θέμα στην Asus και σε άλλους προμηθευτές.

Οι επιλεγμένοι προμηθευτές είναι εξαιρετικά ελκυστικοί στόχοι για τις ομάδες APT που μπορεί να θέλουν να επωφεληθούν από την τεράστια πελατειακή τους βάση. Δεν είναι ακόμα πολύ σαφές ποιος ήταν ο απώτερος στόχος των επιτιθέμενων και εμείς εξακολουθούμε να ερευνάμε ποιος ήταν πίσω από την επίθεση. Ωστόσο, οι τεχνικές που χρησιμοποιούνται για την μη εξουσιοδοτημένη εκτέλεση κώδικα, καθώς και άλλα αντικείμενα που ανακαλύφθηκαν, υποδεικνύουν ότι το ShadowHammer σχετίζεται πιθανώς με το BARIUM APT, το οποίο προηγουμένως συνδέθηκε με τα περιστατικά ShadowPad και CCleaner, μεταξύ άλλων. Αυτή η νέα εκστρατεία αποτελεί ακόμα ένα παράδειγμα για το πόσο εξελιγμένη και επικίνδυνη μπορεί να γίνει μια επίθεση στην “έξυπνη” αλυσίδα εφοδιασμού στις μέρες μας

Vitaly Kamluk, Διευθυντής στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης, APAC, στην Kaspersky Lab

Όλα τα προϊόντα της Kaspersky Lab ανιχνεύουν και αποκλείουν με επιτυχία το κακόβουλο λογισμικό που χρησιμοποιείται στην εκστρατεία ShadowHammer.

Για να αποφύγετε να πέσετε θύμα μιας στοχευμένης επίθεσης από έναν γνωστό ή άγνωστο φορέα απειλής, οι ερευνητές της Kaspersky Lab συνιστούν την εφαρμογή των ακόλουθων μέτρων:

  • Εκτός από την υιοθέτηση της απαιτούμενης προστασίας τερματικών σημείων, εφαρμόστε μια λύση που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως η πλατφόρμα Kaspersky Anti Targeted Attack Platform.
  • Για την ανίχνευση σε επίπεδο τερματικών σημείων, τη διερεύνηση και την έγκαιρη αποκατάσταση των περιστατικών, συνιστούμε την εφαρμογή λύσεων EDR, όπως Kaspersky Endpoint Detection and Response ή την επικοινωνία με μια επαγγελματική ομάδα απόκρισης περιστατικών.
  • Ενσωματώστε τροφοδοσίες Threat Intelligence στο SIEM και σε άλλους ελέγχους ασφάλειας για να αποκτήσετε πρόσβαση στα πιο συναφή και ενημερωμένα δεδομένα απειλών ώστε να είστε προετοιμασμένοι για μελλοντικές επιθέσεις.

Η Kaspersky Lab θα παρουσιάσει τα πλήρη ευρήματά της σχετικά με το Operation ShadowHammer στο πλαίσιο του Security Analyst Summit 2019 στη Σιγκαπούρη στις 9-11 Απριλίου.

Στον ειδικό ιστότοπο Securelist μπορείτε να βρείτε ένα blogpost που συνοψίζει την επίθεση, καθώς και ένα ειδικό εργαλείο που έχει σχεδιαστεί για να επιβεβαιώνει αν οι συσκευές των χρηστών ήταν στόχος.

Update: Επίσημη ανακοίνωση από την ASUS για το ζήτημα

Οι επιθέσεις APT πραγματοποιούνται συνήθως σε εθνικό επίπεδο από συγκεκριμένες χώρες, στοχεύουν σε συγκεκριμένους διεθνείς οργανισμούς και όχι σε απλούς καταναλωτές.

Το ASUS Live Update είναι ένα ιδιωτικό εργαλείο που εγκαθίσταται στα notebooks της ASUS για να διασφαλίσει ότι το σύστημα λαμβάνει πάντοτε τις τελευταίες αναβαθμίσεις από την εταιρεία. Ένας πολύ μικρός αριθμός συσκευών έχει μολυνθεί με κακόβουλο κώδικα μέσω μιας εκλεπτυσμένης επίθεσης που πραγματοποιήθηκε στους servers του εργαλείου Live Update σε μια προσπάθεια να "χτυπήσει" μια πολύ μικρή και συγκεκριμένη ομάδα χρηστών. Η ASUS έχει επικοινωνήσει με όσους χρήστες έχουν πληγεί από αυτήν την επίθεση και παρέχει βοήθεια για να αφαιρεθεί ο κακόβουλος κώδικας.

Επιπλέον, η ASUS έχει ήδη επιδιορθώσει το πρόβλημα στην τελευταία έκδοση του εργαλείου Live Update (v3.6.8) και πρόσθεσε πολλαπλούς μηχανισμούς ασφαλείας για να αποφύγει οποιαδήποτε άλλη παρόμοια απόπειρα, ενώ ενσωμάτωση και μηχανισμό end-to-end κρυπτογράφησης. Ταυτόχρονα, προχώρησε σε αναβάθμιση και ενίσχυση του λογισμικού για την επικοινωνία του server με τον χρήστη για να αποφύγει παρόμοιες επιθέσεις στο μέλλον.

Τέλος, η ASUS δημιούργησε ένα online διαγνωστικό εργαλείο για να ελέγξει ο καθένας το σύστημα του, το οποίο μπορείτε να βρείτε εδώ.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

ASUS ROG Phone 6 και ROG Phone 6 Pro: Επίσημα τα νέα πανίσχυρα gaming smartphones

06 Ιουλίου 2022 Christos Elpidis

Η ASUS ανακοίνωσε επίσημα τη νέα γενιά ROG smartphones, με τα ASUS ROG Phone 6 και ROG Phone 6 Pro να απευθύνονται στους hardcore mobile gamers (αν μπορεί να χρησιμοποιηθεί αυτός ο όρος) προσφέροντας τους ένα ...

ASUS ROG Swift: Η πρώτη gaming οθόνη στον κόσμο με ρυθμό 500Hz

26 Μαΐου 2022 Christos Elpidis

Η ASUS ανεβάζει πολύ υψηλά τον πήχυ στην κατηγορία των gaming οθονών παρουσιάζοντας την νέα ASUS ROG Swift στο πλαίσιο της έκθεσης Computex 2022, η οποία διακρίνεται για το γεγονός ότι προσφέρει ρυθμό ανανέωσης...

Αυτό είναι το πρώτο smartphone στην ιστορία της Qualcomm

08 Ιουλίου 2021 Christos Elpidis

Έφτασε η ώρα και για την Qualcomm να λανσάρει το δικό της smartphone, υπό την έννοια ότι φέρει το δικό της όνομα, αλλά μη φανταστείτε πως έχει αναλάβει η ίδια την κατασκευή ή ότι θα το δείτε να κυκλοφορεί στα ...

ASUS ROG Phone 5: Επίσημα το νέο «κτήνος» gaming smartphone από €799

10 Μαρτίου 2021 Christos Elpidis

Η ASUS προχώρησε στα επίσημα αποκαλυπτήρια του νέου πανίσχυρου gaming smartphone ROG Phone 5, το οποίο θα είναι διαθέσιμο σε τρεις εκδόσεις ROG Phone 5, ROG Phone 5 Pro και ROG Phone 5 Ultimate με τις διαφορές ...

ASUS: Παρουσιάζει το πρώτο WiFi 6E router στον κόσμο με τιμή $549.99

11 Ιανουαρίου 2021 Christos Elpidis

Η ASUS γίνεται ο πρώτος κατασκευαστής στον κόσμο που παρουσιάζει router συμβατό με το πρότυπο WiFi 6E, το οποίο θα απογειώσει τις ταχύτητες και την αξιοπιστία των δικτύων WiFi, ενώ αναμένεται πως θα το ...

Qualcomm: Αναφορά για δικό της smartphone σε συνεργασία με την ASUS

08 Οκτωβρίου 2020 Christos Elpidis

Η Qualcomm ανακοίνωσε επίσημα ότι το φετινό συνέδριο Qualcomm Snapdragon Tech Summit θα πραγματοποιηθεί στις 1-2 Δεκεμβρίου 2020 και κατά πάσα πιθανότητα εκεί θα γίνουν τα αποκαλυπτήρια του νέου Snapdragon 875 ...

ΙΚΕΑ και Republic of Gamers (ROG) θα λανσάρουν έπιπλα & αξεσουάρ ειδικά για gamers

25 Σεπτεμβρίου 2020 Techgear Team

Η ΙΚΕΑ, εταιρεία του Ομίλου FOURLIS, ανακοίνωσε τη συνεργασία της με τη Republic of Gamers (ROG), μια από τις κορυφαίες εταιρίες παγκοσμίως στο χώρο των ηλεκτρονικών παιχνιδιών, για τη δημιουργία μιας μοναδικής...

ASUS Zenfone 7 και Zenfone 7 Pro: Επίσημα οι νέες ναυαρχίδες με περιστρεφόμενη κάμερα

26 Αυγούστου 2020 Christos Elpidis

Η ASUS δεν εγκαταλείπει την ιδέα του περιστρεφόμενου camera module, ως εναλλακτική λύση για μια full-screen εμπειρία χρήσης του smartphone χωρίς οπές, notches και pop-up μηχανισμούς. Η εταιρεία παρουσίασε ...

ASUS ROG Phone 3: Ένα «κτήνος» gaming smartphone με τιμή από €799

22 Ιουλίου 2020 Christos Elpidis

Άμεση η απάντηση της ASUS στο Lenovo Legion Phone Duel, καθώς η εταιρεία παρουσίασε επίσημα πριν από λίγη ώρα το δικό της μεγαθήριο για την κατηγορία των gaming smartphones. Η ASUS έχει φυσικά μεγαλύτερη ...

ASUS ROG Phone 3: Πρώτη επίσημη εικόνα για το νέο gaming smartphone

17 Ιουλίου 2020 Christos Elpidis

Η ASUS ετοιμάζεται και αυτή για την παρουσίαση του νέου gaming smartphone ASUS ROG Phone 3, η οποία φημολογείται ότι θα πραγματοποιηθεί την επόμενη εβδομάδα, αν και έχει κλειδώσει ήδη η αντίστοιχη εκδήλωση του ...

Loader
techgear_icon