Спецпроекты

«Касперский»: проблема в ПО Asus угрожает миллиону пользователей его ПК

7387
ПО Безопасность Техническая защита Пользователю Бизнес Техника

«Лаборатория Касперского» обнаружила проблему в утилите Asus для автоматических обновлений ПО на ПК. Конкретных пострадавших — сотни, потенциальных — свыше миллиона.

Взлом ПО Asus

Хакеры ShadowHammer взломали систему обновления программного обеспечения Asus и устанавливали бэкдоры на компьютеры тайваньского производителя. Об этом в своем блоге сообщает обнаружившая проблему «Лаборатория Касперского».

Проблемной оказалась Asus Live Update — утилита, которая предустановлена на большей части компьютеров Asus и используется для автоматического онлайн-обновления определенных компонентов, таких как BIOS, UEFI, драйверы и приложения.

По данным «Касперского», с помощью этой утилиты с июня по ноябрь 2018 г. происходило распространение вредоносного кода. Атакующие внедряли код в модифицированные старые версии ПО Asus, используя украденные цифровые сертификаты, которые применялись Asus для подписывания легитимных бинарных файлов. После этого утилиты с встроенными троянцами подписывались легитимными сертификатами и распространялись с официальных серверов обновлений Asus — liveupdate01s.asus.сom и liveupdate01.asus.com. Это делало их практически невидимыми для абсолютного большинства защитных решений, отмечают в «Касперском».

asus600.jpg
В утилите Asus Live Update обнаружена дыра

Российские специалисты по безопасности отследили данную атаку в начале 2019 г. «Мы связались с Asus и сообщили им о нападении 31 января 2019 г., поддержав их расследование», — говорится в сообщении компании. На данный момент расследование продолжается.

Масштабы проблемы

Согласно статистике «Касперского», среди пользователей его продуктов скачали и установили версию Asus Live Update более 57 тыс. клиентов в России, Германии, Франции и пр. «Мы не можем рассчитать общее количество затронутых пользователей, основываясь только на наших данных, однако, по нашим оценкам, реальный масштаб проблемы намного больше и, возможно, затрагивает более миллиона пользователей по всему миру», — отмечают в компании.

При этом необходимо понимать, что речь в данном случае идет лишь о потенциальных жертвах. Реальной целью злоумышленников в «Касперском» считают всего несколько сотен конкретных устройств. Как обнаружили исследователи, код каждого бэкдора содержал таблицу со списком определенных MAC-адресов, уникальных идентификационных кодов, которые присваиваются сетевым картам, чтобы компьютер мог подсоединяться к сети.

После запуска на устройстве жертвы зловред проверял, входит ли этот MAC-адрес в список. Если данное условие выполнялось, то загружался следующий модуль вредоносного кода. В противном случае эта утилита не проявляла никакой дополнительной сетевой активности, и именно поэтому атака так долго оставалась необнаруженной. В общей сложности исследователи смогли идентифицировать свыше 600 MAC-адресов в этом списке. Они стали целью для более чем 230 уникальных образцов вредоносного ПО.

Специфический вид атаки

В «Касперском» характеризуют рассматриваемую атаку как весьма изощренную и относят ее типу атаки по цепочке поставок. В компании указывают, что это сегодня один из наиболее опасных и эффективных векторов заражения.

«В подобных случаях злоумышленники стремятся обнаружить уязвимости во взаимосвязанных системах, участвующих в жизненном цикле продукта, от этапа его разработки до момента поступления к пользователю, — пишут эксперты. — Атакующие ищут слабые места в человеческих, организационных, материальных и интеллектуальных ресурсах, необходимых для создания и реализации продукта или услуги. Сам вендор при этом может быть полностью защищен, но уязвимость в инфраструктуре его поставщика может нанести урон всей цепочке поставок.»



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей