Группа хакеров ShadowHammer добавила бэкдор в программу Asus Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры Asus, что позволило злоумышленникам заражать устройства Asus прямо с сервера компании.
Изощренная атака, направленная на получение доступа к нескольким сотням компьютеров, была выявлена специалистами "Лаборатории Касперского".
"Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей", – говорится в сообщении антивирусной компании.
По данным экспертов, зараженную программу установили свыше 57 тысяч пользователей продуктов российской антивирусной компании, а общее число жертв составляет около одного миллиона. Однако главной целью хакеров были вполне определенные компьютеры: хэши 600 MAC-адресов были зашиты в различные версии утилиты. Проверить, числится ли конкретный MAC-адрес в списке хакеров, пользователи могут при помощи специальной программы, созданной в "Лаборатории Касперского".
ПО Asus использовалось как первоначальный источник заражения. После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список, и если он подходил, то на компьютер загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и поэтому атака долго оставалась необнаруженной, отмечает РИА "Новости".
По всей видимости, хакеры заразили не только программу компании Asus. В ходе расследования инцидента в "Лаборатории Касперского" установили, что те же методы использовались для заражения ПО трех других производителей, но названия этих компаний не уточняются.
"Разумеется, мы немедленно уведомили Asus и другие компании об атаке. На настоящий момент все решения "Лаборатории Касперского" обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить Asus Live Update Utility, если вы ею пользуетесь", – отметили в компании.
Вечером 26 марта в Asus подтвердили информацию о заражении программы Asus Live Update Utility. При этом в тайваньской компании утверждают, что вредоносным кодом было заражено лишь незначительное число ноутбуков Asus, и техподдержка компании связывается с их пользователями для устранения последствий атаки. Кроме того, в пресс-релизе говорится, что Asus исправила проблему с Asus Live Update Utility и внедрила в программу защиту от подобных атак хакеров. Также компания усилила защиту системы загрузки обновлений ПО с серверов на устройства пользователей.
Источник hitech.newsru.com