Firma Kaspersky odkryła, że szkodliwe oprogramowanie o nazwie Shadow Hammer zainfekowało sporą grupę użytkowników sprzętu marki ASUS. Złośliwe oprogramowanie dostało się do komputerów za pośrednictwem programu ASUS Live Update Utility. Producent przyznał się do ataku i już zabezpieczył aplikację, która ma dbać o aktualizowanie sterowników.
Co należy robić, żeby zabezpieczyć się przed najpopularniejszymi wirusami i innymi szkodnikami? Zawsze mówi się, że przede wszystkim należy aktualizować posiadane oprogramowanie. Dotyczy to zarówno systemu operacyjnego, jak i na co dzień używanych aplikacji oraz sterowników. ASUS Live Update Utility jest właśnie aplikacją, która ma za zadanie pomóc użytkownikom komputerów firmy ASUS w instalacji najnowszych wersji programów firmy, sterowników oraz BIOS/UEFI. Wszystko to ma na celu zapewnienie jak największej wydajności, stabilności oraz oczywiście bezpieczeństwa. Niestety o bezpieczeństwie całego systemu decydują najczęściej zabezpieczenia jego najsłabszego ogniwa. W tym przypadku były to serwery, z który korzystał system aktualizacji firmy ASUS. Hakerom udało się na nie włamać i doczepić fragment złośliwego oprogramowania do aktualizacji pobieranych przez sprzęt ASUS-a. Przestępcy zadbali nawet o podpisanie plików prawidłowym certyfikatem.
ASUS uważa, że atak Shadow Hammer dotknął wąską grupę użytkowników
Specjaliści z Kaspersky Lab ustalili, że złośliwe oprogramowanie infekowało klientów ASUS-a od czerwca do listopada 2018. Rosyjski antywirus nie wykrył początkowo żadnego zagrożenia. Jednak po analizie okazało się, że Shadow Hammer znajduje się na 57 000 komputerów klientów Kasperskiego. Największa grupa pochodziła z Rosji, jednak wynika to z faktu, że właśnie w tym kraju Kaspersky ma najwięcej użytkowników. Infekcję potwierdził również Symantec, który wśród swoich klientów zidentyfikował 13 000 ofiar. Do tego należy doliczyć użytkowników innych programów antywirusowych.
Na szczęście Shadow Hammer nie atakował wszystkich zainfekowanych komputerów. Przestępcy ograniczyli aktywność wirusa do wąskiej grupy użytkowników. To właśnie ta nieduża aktywność przyczyniła się do późnego wykrycia zagrożenia. Kaspersky ustalił listę 600 adresów MAC urządzeń, na które były przeprowadzane ataki. Na tej stronie możecie sprawdzić, czy Wasz komputer znalazł się w kręgu zainteresowań przestępców. Podobne mechanizmy były używane podczas ataku na serwery aktualizacji aplikacji CCleaner.
Firma ASUS przesłała do mediów oświadczenie, w którym potwierdziła atak na serwery. Jednocześnie dowiedzieliśmy się, że producent podjął działania zabezpieczające przed wystąpieniem podobnych problemów w przyszłości.
ASUS Live Update jest zastrzeżonym narzędziem dostarczanym z notebookami ASUS, aby zapewnić, że system zawsze korzysta z najnowszych sterowników i oprogramowania firmy ASUS. Pewna liczba urządzeń została zainfekowana szkodliwym kodem poprzez wyrafinowany atak na nasze serwery Live Update, próbując dotrzeć do określonej i wąskiej grupy użytkowników. Obsługa klienta ASUS kontaktuje się z dotkniętymi użytkownikami i zapewnia pomoc w celu usunięcia zagrożeń bezpieczeństwa.
Firma ASUS zaimplementowała także poprawkę w najnowszej wersji (wersja 3.6.8) oprogramowania Live Update, wprowadziła wiele mechanizmów weryfikacji bezpieczeństwa, aby zapobiec wszelkim szkodliwym manipulacjom w postaci aktualizacji oprogramowania lub innych środków, a także zaimplementowała ulepszony mechanizm szyfrowania. Jednocześnie zaktualizowaliśmy i wzmocniliśmy naszą architekturę oprogramowania typu serwer-klient, aby zapobiec podobnym atakom w przyszłości.
Ponadto stworzyliśmy narzędzie do diagnostyki zabezpieczeń, aby sprawdzić systemy, których dotyczy problem. Zachęcamy użytkowników do uruchomienia go jako środek ostrożności. Narzędzie można znaleźć tutaj.
Użytkowników, którzy mają dodatkowe obawy, prosimy o kontakt z działem obsługi klienta ASUS.
Źródło: Niebezpiecznik, Kaspersky Lab