Asus най-накрая публикува изявление днес (26 март) относно хакването на собствени сървъри за актуализиране на фърмуера, повече от 24 часа след като Vice Motherboard и Kaspersky Lab публично разкриха проблема и близо два месеца след като Kaspersky Lab уведоми Asus, че сървърите му са хакнати .
Кредит: Роман Арбузов/Shutterstock
„Малък брой устройства са имплантирани със зловреден код чрез сложна атака на нашите сървъри за актуализация на живо в опит да се насочат към много малка и специфична потребителска група“, се казва в изявление на компанията. „Обслужването на клиенти на Asus се обръща към засегнатите потребители и предоставя помощ, за да гарантира, че рисковете за сигурността са премахнати.“
Най -малко 70 000 устройства Asus са заразени с повредения фърмуер на Asus, както е документирано от Kaspersky Lab и Symantec, които са получили номера от компютри, работещи със собствен антивирусен софтуер на тези компании. Изследователите на Лаборатория Касперски изчисляват, че милион компютри на Asus по света може да са заразени, което вероятно не е малък брой.
Asus заяви в прессъобщението си, че е предприело стъпки за засилване на сигурността на процеса на актуализиране, но не споменава как нападателите-смятани за китайско-говорящ хакерски екип с връзки с китайското правителство-са успели да проникнат в сървърите на Asus и да откраднат сертификатите за цифрово подписване на Asus, които потвърдиха зловредния софтуер като легитимен.
„Asus също внедри корекция в последната версия (версия 3.6.8) на софтуера Live Update, въведе множество механизми за проверка на сигурността, за да предотврати всякакви злонамерени манипулации под формата на софтуерни актуализации или други средства, и внедри подобрен краен механизъм за криптиране до край ", се казва в изявлението за пресата. "В същото време ние също така актуализирахме и укрепихме нашата софтуерна архитектура от сървър до краен потребител, за да предотвратим появата на подобни атаки в бъдеще."
Между юни и ноември 2022-2023 г. зловредният софтуер беше доставен на компютрите на Asus по целия свят директно от собствените услуги за актуализиране на фърмуера на Asus. Зловредният софтуер създава „задна врата“, която позволява изтеглянето и инсталирането на повече злонамерен софтуер без разрешение на потребителя.
Зловредният софтуер обаче е в латентно състояние на почти всички системи и се активира само на специално насочени индивидуални компютри, чиито MAC адреси - уникални идентификатори за всеки мрежов порт - съвпадат с тези в твърдо кодирани списъци, вградени директно в зловредния софтуер.
Изследователите на Kaspersky идентифицираха около 600 MAC адреса в списъците с посещения, което наистина е „малка потребителска група“. Но спецификите все още са неясни, тъй като не знаем кой точно е насочен към зловредния софтуер или как нападателите са влезли в сървърите за актуализация на Asus.
Asus също пусна „инструмент за диагностика на сигурността, за да провери за засегнати системи“, който може да бъде изтеглен на адрес https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Това допълва инструмент на Kaspersky Lab, който проверява за наличието на зловреден софтуер, и уеб страница на Kaspersky Lab, където можете да проверите дали някой от мрежовите MAC адреси на вашия компютър Asus е в списъка с удари на зловреден софтуер.
Изследователите на Kaspersky заявиха, че са уведомили Asus за проблема на 31 януари, но казаха на Kim Zetter от Motherboard, че Asus първоначално отрече сървърите му да са били хакнати.