[svoboda] Хакеры внедрили бэкдор в фирменную утилиту Asus и заражали компьютеры пользователей с сервера компании
Здравствуйте, свобода.
Группа хакеров ShadowHammer добавила бэкдор в программу Asus Live Update,
которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные
компьютеры Asus, что позволило злоумышленникам заражать устройства Asus
прямо с сервера компании. Изощренная атака, направленная на получение
доступа к нескольким сотням компьютеров, была выявлена специалистами
"Лаборатории Касперского".
"Превращенная в троян утилита была подписана легитимным сертификатом и
размещена на официальном сервере обновлений ASUS, что позволило ей долгое
время оставаться незамеченной. Преступники позаботились даже о том, чтобы
размер у вредоносной утилиты был точно таким же, как у настоящей", -
говорится в сообщении антивирусной компании.
По данным экспертов, зараженную программу установили свыше 57 тысяч
пользователей продуктов российской антивирусной компании, а общее число
жертв составляет около одного миллиона. Однако главной целью хакеров были
вполне определенные компьютеры: хэши 600 MAC-адресов были зашиты в различные
версии утилиты. Проверить, числится ли конкретный MAC-адрес в списке
хакеров, пользователи могут при помощи специальной программы, созданной в
"Лаборатории Касперского".
ПО Asus использовалось как первоначальный источник заражения. После запуска
на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и
если он подходил, то на компьютер загружался следующий модуль вредоносного
кода. В противном случае эта утилита не проявляла никакой дополнительной
сетевой активности, и поэтому атака долго оставалась необнаруженной,
отмечает РИА "Новости".
По всей видимости, хакеры заразили не только программу компании Asus. В ходе
расследования инцидента в "Лаборатории Касперского" установили, что те же
методы использовались для заражения ПО трех других производителей, но
названия этих компаний не уточняются.
"Разумеется, мы немедленно уведомили Asus и другие компании об атаке. На
настоящий момент все решения "Лаборатории Касперского" обнаруживают и
блокируют модифицированные злоумышленниками утилиты, однако мы все же
рекомендуем вам обновить Asus Live Update Utility, если вы ею пользуетесь",
- отметили в компании.
Вечером 26 марта в Asus подтвердили информацию о заражении программы Asus
Live Update Utility. При этом в тайваньской компании утверждают, что
вредоносным кодом было заражено лишь незначительное число ноутбуков Asus, и
техподдержка компании связывается с их пользователями для устранения
последствий атаки. Кроме того, в пресс-релизе говорится, что Asus исправила
проблему с Asus Live Update Utility и внедрила в программу защиту от
подобных атак хакеров. Также компания усилила защиту системы загрузки
обновлений ПО с серверов на устройства пользователей.
