Nástroj ASUS Live Update Utility na distribúciu softvérových aktualizácií pre notebooky a stolové počítače spoločnosti ASUS bol napadnutý a zneužitý na šírenie malvéru. Upozornil na to tvorca známych bezpečnostných riešení, Kaspersky Lab.
Na základe svojich údajov uvádza, že trójskeho koňa so „zadnými vrátkami“ detegoval u viac ako 57 000 používateľov, no podľa odhadov sa počet zasiahnutých používateľov môže teoreticky vyšplhať až na celý milión, hoci reálnejšie čísla sa majú hýbať v „stovkách tisícok“.
Kaspersky Lab v príspevku na svojom blogu ďalej uvádza, že nekalé živly sa zamerali len na 600 špecifických zariadení, na ktoré inštalovali ďalší malvér. Na zariadeniach, ktoré neboli terčom aktívneho útoku nemalo dôjsť k žiadnej aktivite, no kyberzločinci cez získané „zadné dvierka“ ešte potenciálne môžu zaútočiť.
Infikovaná verzia oficiálneho nástroja niesla právoplatný digitálny podpis a nachádzala sa na oficiálnych serverov spoločnosti ASUS, čo spôsobilo, že dlhú dobu nebola odhalená. Útok mal aktívne prebiehať v období od júna do novembra 2018. Kyberzločinci si dali záležať a veľkosť infikovanej verzie bola totožná s veľkosťou pôvodnej, legitímnej, verzie nástroja ASUS Live Update Utility.
Pri bližšom skúmaní situácie Kaspersky Lab identifikoval rovnakú úpravu nástrojov u troch ďalších, bližšie nešpecifikovaných, predajcov. Všetky dotknuté spoločnosti boli na situáciu upozornené a aktívne vyšetrovanie ešte stále prebieha. Útok dostal prezývku „ShadowHammer“.
Útok potvrdila aj spoločnosť Symantec, ktorá uviedla, že jej bezpečnostné riešenia upravenú aplikáciu odhalili u 13 000 zákazníkov a infikovaný softvér taktiež vystopovala späť na servery ASUSu. Používateľom, ktorí vo svojom zariadení majú nainštalovaný nástroj ASUS Live Update Utility sa odporúča aktualizovať ho na najnovšiu dostupnú verziu. Tá už má byť v poriadku.
Spoločnosť ASUS má oficiálne vyjadrenie poskytnúť počas zajtrajšieho dňa. Portál Motherboard, ktorý na tému upozornil, ale uvádza, že firma napriek upozorneniam na situáciu dostatočne nereagovala, zákazníkov o ničom neinformovala, poprela, že by jej servery obsahovali infikovanú verziu nástroja ASUS Live Update Utility a nereagovala ani na otázky médií.
Oficiálne stanovisko spoločnosti ASUS
Oficiálne vyjadrenie spoločnosti ASUS bolo doručené 26. marca vo večerných hodinách, zverejnené je v plnom rozsahu.
Útoky typu APT (Advanced Persistent Threat – pokročilá vytrvalá hrozba) predstavujú typ útoku, prebiehajúceho na celonárodnej úrovni. Obvykle ho iniciujú konkrétne krajiny a cieľom nie sú jednotliví spotrebitelia, ale medzinárodné organizácie či podobné subjekty.
ASUS Live Update je proprietárny nástroj, ktorý sa dodáva s notebookmi ASUS a zabezpečuje, aby v systéme nechýbali najnovšie ovládače a firmvér od spoločnosti ASUS. Prostredníctvom sofistikovaného útoku proti našim serverom Live Update bol do malého počtu zariadení nahratý škodlivý softvér, ktorého cieľom bola veľmi malá a špecifická skupina používateľov. Zákaznícka služba ASUS kontaktuje takto postihnutých používateľov a poskytuje im podporu, aby sa zabezpečilo odstránenie bezpečnostného rizika.
ASUS tiež v najnovšej verzii softvéru Live Update (ver. 3.6.8.) zaviedol opravu a niekoľko mechanizmov na overovanie bezpečnosti, ktorých účelom je zabrániť škodlivej manipulácii prostredníctvom aktualizácie softvéru alebo iných metód. Do novej verzie bol tiež vložený posilnený mechanizmus komplexného šifrovania. Zároveň sme aktualizovali a posilnili našu softvérovú architektúru na kontakt medzi servermi a koncovými používateľmi, aby v budúcnosti k podobným útokom nemohlo dôjsť.
Vytvorili sme tiež online nástroj na diagnostiku zabezpečenia, ktorý kontroluje prípadné postihnutie systému. Používatelia, ktorí majú stále obavy si tento nástroj môžu preventívne spustiť. Nástroj sa nachádza na adrese https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip
Zároveň by sme radi vyzvali všetkých používateľov, ktorí majú akékoľvek obavy, aby kontaktovali zákaznícku službu ASUS.
Viac informácií o skupinových útokoch typu APT možno získať na adrese: https://www.fireeye.com/current-threats/apt-groups.html
Koniec zaslaného textu.