autor: Bartosz Świątek
Hakerzy wykorzystali aktualizacje ASUS do rozsiewania malware? (aktualizacja)
Eksperci od oprogramowania antywirusowego z firm Kaspersky oraz Symantec donoszą, że oficjalna aplikacja koncernu ASUS przez kilka miesięcy infekowała komputery użytkowników złośliwym oprogramowaniem.
Aktualizacja:
Firma ASUS potwierdziła w oficjalnym komunikacie, że w istocie miał miejsce atak na serwery Live Update, w wyniku którego wybrane komputery mogły zostać zainfekowane złośliwym oprogramowaniem. Choć producent przekonuje, że prawdopodobieństwo zarażenia jest małe (z uwagi na fakt, iż na celowniku hakerów znalazła się „niewielka i określona grupa” użytkowników), to jednak zaktualizował już program ASUS Live Update Utility (do wersji oznaczonej jako 3.6.8), a także zabezpieczył swoje serwery.
Osoby, które mimo to wciąż nie czują się bezpieczne, mogą przeskanować swoje komputery specjalnym narzędziem diagnostycznym, które czeka pod tym adresem. W przypadku wykrycia złośliwych plików, producent zaleca wykonanie kopii zapasowej swoich danych i przywrócenie ustawień fabrycznych systemu.
W SKRÓCIE:
- eksperci firmy Kaspersky Lab odkryli, że aplikacja koncernu ASUS rozpowszechniała złośliwe pliki na komputerach klientów;
- malware było podpisywane właściwymi certyfikatami i unikało wykrycia przez oprogramowanie antywirusowe;
- hakerzy mogli zainfekować nawet milion pecetów;
- za atakiem może stać grupa znana pod nazwą Barium.
Jak donosi portal Niebezpiecznik (powołując się na ekspertów od oprogramowania antywirusowego Kaspersky Lab), oficjalna aplikacja firmy ASUS przez kilka miesięcy – od czerwca do listopada 2018 roku – infekowała komputery klientów złośliwym oprogramowaniem. Program, o którym mowa, nosi nazwę ASUS Live Update Utility i służy do aktualizowania oprogramowania koncernu (np. sterowników płyt głównych czy narzędzi pozwalających na zmianę BIOS-u).
21 stycznia tego roku pracownicy Kaspersky Lab zorientowali się, że coś jest nie tak – łatki pobierane na dysk komputera przez wspomnianą aplikację zawierały złośliwe pliki, mimo że posiadały właściwy certyfikat. Tzw. malware początkowo nie zostało wykryte przez oprogramowanie antywirusowe firmy – znaleziono je dopiero po przeprowadzeniu dodatkowej analizy, zaś ankieta wysłana do użytkowników programu antywirusowego wyjawiła, że wirus znajduje się wyłącznie na urządzeniach ASUS-a.
Dokładna liczba zainfekowanych komputerów nie jest znana, ale jest to co najmniej 57 tys. maszyn (problem dotyczył takiej liczby klientów Kaspersky Lab, ale malware z pewnością znajduje się także na komputerach użytkowników korzystających z innych programów antywirusowych). Według niektórych szacunków zaatakowanych może być nawet milion pecetów. Doniesienia zostały potwierdzone przez inną znaną firmę działająca na rynku programów antywirusowych – Symantec – która wykryła złośliwy kod u 13 tys. swoich użytkowników.
Niestety, eksperci Kaspersky Lab są przekonani, że wirus pojawił się także w Polsce (odnotowano co najmniej kilkadziesiąt przypadków). By sprawdzić, czy problem dotyczy waszego peceta, wystarczy odwiedzić ten adres i postępować zgodnie z instrukcjami widocznymi na stronie (adres MAC możecie odnaleźć m.in. w ustawieniach routera).
Złośliwy kod otrzymał nazwę ShadowHammer i jest to program typu back door – po zainfekowaniu danej maszyny łączy się z domeną asushotfix.com i ściąga dodatkowe, szkodliwe pliki. Metoda wykorzystana w tym przypadku do złudzenia przypomina sytuację sprzed paru lat, kiedy to zhakowano popularną aplikację CCleaner. Nie można wykluczyć, że za atak odpowiadają Ci sami ludzie (tak sądzą eksperci Kaspersky), co jest tym bardziej prawdopodobne, że firma ASUS była wówczas jedną z ofiar. W 2017 roku Microsoft ochrzcił grupę odpowiedzialną za tamte działania nazwą Barium.
Na koniec warto odnotować, że niektórzy użytkownicy zainfekowanych komputerów już 9 miesięcy temu donosili, że coś jest nie tak, po tym, jak zauważyli że program ASUS Live Update Utility próbuje dokonać jakiejś tajemniczej aktualizacji. Wirus nie został jednak wówczas wykryty i sprawa przycichła. ASUS nie poinformował swoich klientów o problemie, choć od stycznia bieżącego roku był świadomy jego istnienia. Koncern nadal korzysta również z certyfikatów, które zostały wykorzystane do podpisania złośliwego oprogramowania. Przedstawiciele firmy na razie nie skomentowali sprawy.