Кибератака на Asus: хакеры взломали фирменное приложение компании и получили доступ к компьютерам сотен тысяч человек

Как злоумышленники получили доступ к серверам компании и как проверить свой компьютер.

Исследователи «Лаборатории Касперского» опубликовали расследование о взломе фирменного приложения Asus Live Update — злоумышленники использовали его для распространения вредоносного ПО среди владельцев компьютеров Asus.

Точное число пострадавших пользователей неизвестно: эксперты «Лаборатории Касперского» считают, что жертвами атаки могли стать до 1 млн человек, хотя целью хакеров были 600 конкретных устройств.

Tom's Hardware
Tom's Hardware

Что произошло

Asus Live Update — предустановленная программа на большинстве компьютеров Asus , которая используется для автоматического обновления драйверов, BIOS и фирменных приложений.

Хакеры из APT-группировки ShadowHammer получили доступ к серверам компании и контролировали Live Update с июня по ноябрь 2018 года. На протяжении этого времени владельцы компьютеров Asus скачивали Live Update со встроенным бэкдором — уязвимостью, которая позволяет злоумышленникам заражать компьютеры.

Специалисты уточняют, что только среди владельцев продуктов «Лаборатории Касперского» взломанное приложение скачали более 57 тысяч пользователей, а эксперты компании Symantec обнаружили заражение у 13 тысяч клиентов.

Распределение жертв взлома среди клиентов «Лаборатории Касперского» по странам Блог «Лаборатории Касперского»
Распределение жертв взлома среди клиентов «Лаборатории Касперского» по странам Блог «Лаборатории Касперского»

Как хакеры распространяли вредоносное ПО

Злоумышленники смогли получить доступ к части серверов Asus, связанных с подписанием файлов цифровыми сертификатами. Хакеры подписывали взломанный файл приложения Live Update от 2015 года и загружали его на серверы компании — liveupdate01s.asus[.] com и liveupdate01.asus[.] com. Пользователи получали уведомление об обновлении Live Update и скачивали взломанный файл.

Пример подписанного взломанного приложения Блог «Лаборатории Касперского»
Пример подписанного взломанного приложения Блог «Лаборатории Касперского»

«Мы видели, что обновления приходят с сервера Asus Live Update. Это были трояны или вредоносные обновления, они были подписаны Asus», — сказал директор по разработке технологий безопасности и реагирования в Symantec Лиам О'Мурчу.

В июне 2018 года несколько пользователей Reddit получали предупреждения о «критическом обновлении» Live Update. Файл был подписан сертификатом Asus, а сканирование файла антивирусами и сервисом VirusTotal не показали угроз.

Приложение при этом не показывало обновлений, и в нём присутствовали опечатки, но грамматические ошибки были и в другом ПО от Asus, замечает один из пользователей.

Reddit
Reddit

Asus не единственная компания, которая пострадала от взлома — по версии специалистов «Лаборатории Касперского», похожий метод использовался для заражения ПО трех других производителей.. Кого именно, компания не раскрывает.

В чем особенность взлома

Специалисты изучили более 200 образцов вредоносных приложений, которые отправлялись жертвам и выяснили, что целью хакеров были около 600 компьютеров с определёнными MAC-адресами сетевых карт. Они были сохранены в специальном списке внутри взломанного Live Update, рассказывают специалисты «Лаборатории Касперского».

  • Попав на компьютер пользователя, приложение сверялось со списком, и если обнаруживало «нужный» MAC-адрес, обращалось к командно-контрольному серверу злоумышленников и скачивало с него дополнительные бэкдоры «второго уровня».
  • Если MAC-адрес не обнаруживался, программа работала в «спящем» режиме и не проявляла дополнительной сетевой активности, но всё ещё несёт угрозу пользователям.

Командно-контрольный сервер, который распространял бэкдоры «второго уровня», был зарегистрирован 3 мая 2018 года, но закрыт в ноябре, до обнаружения специалистами по кибербезопасности, поэтому получить копию вирусов пока не удается.

«Лаборатория Касперского» считает, что один из её клиентов заразился бэкдором «второго уровня», но компании неизвестна личность владельца компьютера, поэтому она не может связаться с ним для продолжения расследования

Проблема уязвимости обновлений и связь ShadowHammer с другими атаками

Это не первый случай, когда злоумышленники маскируются под обновления приложений для заражения систем. В 2012 году с помощью инструмента Flame Spy хакеры смогли перенаправить запросы службы обновления Windows на собственные серверы в обход Microsoft.

«Лаборатория Касперского» заявила, что раскрыла атаку в январе 2019 года после обновления технологии обнаружения «уязвимости цепочки поставок», которая отлавливает аномальные фрагменты кода в фирменных приложениях.

В 2017 году специалисты по кибербезопасности обнаружили две атаки на цепочку поставок — одна из них затронула приложение CCleaner, вторая распространяла вирус-вымогатель NotPetya через бухгалтерское ПО.

Атака на Asus на уровень выше по сложности и скрытности, считает директор «Лаборатории Касперского» по глобальным исследованиям и анализу Костин Райю. Точечная проверка MAC-адресов и «бесшумность» для остальных пользователей позволяла оставаться уязвимости незамеченной.

Это не первая атака группировки хакеров ShadowHammer: исследователи считают, что ранее она провела атаку ShadowPad на корпоративное ПО компании NetSarang, а также связана со взломом CCleaner.

По словам специалистов Avast, несмотря на то, что от атаки на CCleaner пострадало неколько миллионов человек, основной целью были крупные технологические и телекоммуникационные компании в Японии, Тайване, Великобритании, Германии и США.

Часть списка пострадавших от  ShadowPad компаний, среди которых есть Asus Avast
Часть списка пострадавших от ShadowPad компаний, среди которых есть Asus Avast

«Лаборатория Касперского» полагает, что злоумышленники смогли получить доступ к серверам Asus после атаки на CCleaner — компания была одной из основных целей хакеров.

Технические подробности «Лаборатория Касперского» обещает сначала рассказать в апреле на конференции SAS 2019, а затем опубликовать полный отчет на сайте.

Реакция Asus

«Лаборатория Касперского» уведомила Asus о проблеме 31 января 2019 года, предоставив необходимую информацию для идентификации уязвимости. Изначально компания отрицала взлом сервера и распространение вредоносного ПО через приложение, несмотря на собранные доказательства, заявлют представители «Лаборатории Касперского» в публикации Motherboard.

Срок одного из скомпрометированных сертификатов истек в середине 2018 года, поэтому злоумышленники переключились на другой. По словам специалистов «Лаборатории Касперского», Asus всё ещё не признал недействительными сертификаты и продолжает подписывать вредоносный файл обновления.

14 февраля сотрудник Asus встретился со специалистами «Лаборатории Касперского», но до 26 марта никак не реагировала и не отвечала на запросы компании и издания Motherboard.

26 марта 2019 года Asus заявила о выходе исправленной версии приложения, изменениях в серверной части, а также рассказала, что заражению подверглись только ноутбуки. Компания считает, что атака была направлена на определенную группу пользователей и пострадало небольшое количество устройств.

Как узнать, заражен ли компьютер

«Лаборатория Касперского» продолжает расследование, рекомендует обновить Asus Live Update и проверить обновление с помощью антивирусов. Чтобы проверить, не входит ли MAC-адрес в список приоритетных целей злоумышленников, «Лаборатория Касперского» выпустила бесплатное приложение (ссылка на архив) и запустила специальный сайт.

26 марта 2019 года Asus выпустила обновленное приложение Live Update с версией 3.6.8, в котором устранила уязвимость и предлагает использовать специальное приложение для проверки системы на уязвимости.

Проверка компьютера Asus 
Проверка компьютера Asus 

По данным исследования IDC, российский рынок персональных компьютеров в 2018 году составил 5,79 млн штук. Первое место занимает HP c 23,2% от всех поставленных за 2018 год ПК, далее следуют Lenovo (18,2%), Asus (13,6%), Acer (13,5%) и Dell (5,7%).

Поставки ноутбуков в 2018 году составили 3,9 млн штук, наибольшее количество устройств выпущены под брендами HP, Lenovo и Asus.

99
7 комментариев

Не зря я первым делом после покупки ноута сношу всё предустановленное говно.

13

Согласен. После покупки ноута на Винде нередко установлены всякие "супер полезные" утилиты от производителя, которые необходимо удалить, так как катастрофа неизбежна. Ещё и windows чекать приходится, слишком много в последнего время ненужного и навязанного функционала.

1

...включая саму DOS.

тоже самое, удаляю их говно

Сношу винду и всё что к ней в придачу, ставлю линукса, не качаю "фирменного софта" с левых ресурсов.

Сотни тысяч... Смешно ... Хром имеет доступ к миллиардам

2

Комментарий недоступен

1