Sākumlapa » Apdraudējumi » Kiberuzbrucēji inficē datoru ražotāja ASUS programmatūru un izplata to caur oficiālajiem kanāliem (papildināts)

Kiberuzbrucēji inficē datoru ražotāja ASUS programmatūru un izplata to caur oficiālajiem kanāliem (papildināts)

Pateicoties jaunākajām tehnoloģijām, kuras dod iespēju atklāt piegādes ķēdēs slēptus uzbrukumus, Kaspersky Lab eksperti konstatējuši vienu no, iespējams, apjomīgākajiem šāda veida incidentiem (Atcerieties notikumus ar CCleaner? Šoreiz mērogs ir vēl plašāks). Kibernoziedznieki pievienojuši lūku (backdoor) utilītprogrammai ASUS Live Update, kura piegādā BIOS, UEFI un programmapgādes atjauninājumus ASUS ražotajiem piezīmjdatoriem un galda datoriem, bet pēc tam pa datoru ražotāja oficiāliem kanāliem izplatījuši modificētu programmu.

 

 

Par Trojas zirgu pārvērstā utilītprogramma bija parakstīta ar likumīgu sertifikātu un izvietota uz oficiālā ASUS atjauninājumu servera, tādēļ tā palika nepamanīta ilgāku laiku. Noziedznieki parūpējās pat par to, lai bīstamās utilītprogrammas lielums sakristu ar oriģināla izmēriem.

 

Inficētā programmatūra tika parakstīta zagtu digitālo sertifikātu.

Inficētā programmatūra tika parakstīta zagtu digitālo sertifikātu.

Pēc Kaspersky Lab aplēsēm kopējais upuru skaits varētu sasniegt miljonu. Tomēr šo uzbrukumu veikušo grupu šis miljons neinteresē: viņu mērķis bija 600 konkrētas MAC adreses, kuru jaucējsummas bija ieprogrammētas dažādās utilītprogrammas versijās.

Pētot uzbrukumu, Kaspersky Lab eksperti atklāja, ka tādi paši paņēmieni tikuši izmantoti, lai inficētu vēl triju ražotāju programmatūru. Eksperti, protams, nekavējoties brīdināja ASUS un pārējos par uzbrukumu. Uz pašreizējo brīdi visi Kaspersky Lab produkti atklāj un bloķē modificētās ļaunprātīgās utilītprogrammas, tomēr ir ieteicams atjaunināt ASUS Live Update utilītprogrammu, ja jūs to izmantojat. Izmeklēšanas pasākumi turpinās.

Ja jūs esat profesionālis un jūs interesē vēsturē visplašākā piegādes ķēdes uzbrukuma detaļas (tehniskās nianses, inficēšanās indikatori, upuri un tā tālāk) klātienē no pirmavota, apmeklējiet SAS 2019 — viskarstāko diskusiju forumu par drošību pasaulē, kas sāksies 8. aprīlī Singapūrā. APT grupai ShadowHammer tiks veltīts atsevišķs ziņojums, kurā būs ietvertas daudzas interesantas detaļas. Biļetes jau gandrīz pilnībā izpārdotas, tādēļ iesakām pasteigties.

Starp citu, ir arī citas iespējas — pēc SAS atklāšanas tiks publicēts pilns ziņojums par pētījumu gaitu portālā securelist.com, kur tagad ir atrodams ShadowHammer tehniskais pārskats. Sekojiet jaunumiem!

Oficiālā preses ziņa par ShadowHammer ir lasāma šeit.

Papildinājums 27. martā 15:40, īpaši ASUS datoru īpašniekiem.

Uz šo brīdi lielākā daļa antivīrusu skeneru jau atklāj uzbrucēju modificēto ASUS programmatūru. Piemēram, Kaspersky Lab izsaucamais skeneris to detektē kā HEUR:Trojan.Win32.ShadowHammer.gen. Tomēr ir jāatceras, ka no lielā skaita inficēto, uzbrucēji bija nolūkojuši dažus simtus tālākai inficēšanai ar papildus ļaunprogrammatūru. Šo izredzēto datoru tīkla komponenšu MAC adreses bija iekodētas modificētās ASUS programmatūras variantos.

 

 

Kaspersky Lab ir izveidojis īpašu lapu, kur jūs varat pārbaudīt, vai jūsu ASUS datoru tīkla komponešu MAC adreses ir starp tiem dažiem simtiem adrešu, uz kuriem galu galā bija notēmējušies uzbrucēji: https://shadowhammer.kaspersky.com/. Lapā ir arī saite uz paskaidrojumu, kā apskatīties MAC adresi.

Alternatīvs veids ir lejupielādēt Kaspersky Lab sagatavotu utilītprogrammu, ar kuru var noskaidrot, vai MAC adrese ir uzbrucēju sarakstā. Zip arhīvu ar palaižamo exe failu varat lejupielādēt no adreses https://kas.pr/shadowhammer.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 6 = 3

Uz augšu