Asus, наконец, опубликовала заявление сегодня (26 марта) о взломе собственных серверов обновления прошивки, более чем через 24 часа после того, как Vice Motherboard и «Лаборатория Касперского» публично раскрыли проблему, и почти через два месяца после того, как «Лаборатория Касперского» уведомила Asus о том, что ее серверы были взломаны. .
Предоставлено: Роман Арбузов / Shutterstock.
«Небольшому количеству устройств был имплантирован вредоносный код в результате сложной атаки на наши серверы Live Update в попытке атаковать очень небольшую и конкретную группу пользователей», - говорится в заявлении компании. «Служба поддержки клиентов Asus обратилась к затронутым пользователям и предоставила помощь для устранения угроз безопасности».
По меньшей мере 70 000 устройств Asus были заражены поврежденной прошивкой Asus, что было зарегистрировано «Лабораторией Касперского» и Symantec, которые получили данные с компьютеров, на которых установлено собственное антивирусное программное обеспечение этих компаний. По оценкам исследователей «Лаборатории Касперского», миллион компьютеров Asus по всему миру мог быть заражен, что, пожалуй, немалое количество.
Компания Asus сообщила в своем пресс-релизе, что она предприняла шаги по усилению безопасности процесса обновления, но не упомянула, как злоумышленникам - считавшимся китайско-говорящей хакерской командой, связанной с правительством Китая - удалось взломать серверы Asus и украсть сертификаты цифровой подписи Asus, подтверждающие, что вредоносное ПО является законным.
«Asus также внедрила исправление в последнюю версию (версия 3.6.8) программного обеспечения Live Update, представила несколько механизмов проверки безопасности для предотвращения любых злонамеренных манипуляций в виде обновлений программного обеспечения или других средств, а также реализовала улучшенный конечный результат. механизм сквозного шифрования », - говорится в заявлении для прессы. «В то же время мы также обновили и усилили нашу архитектуру программного обеспечения« сервер-конечный пользователь », чтобы предотвратить подобные атаки в будущем».
В период с июня по ноябрь 2022-2023 годов вредоносное ПО было доставлено на компьютеры Asus по всему миру напрямую из собственных служб обновления прошивки Asus. Вредоносная программа создает «бэкдор», который позволяет загружать и устанавливать больше вредоносных программ без авторизации пользователя.
Однако вредоносная программа неактивна почти во всех системах, активируясь только на отдельных компьютерах, чьи MAC-адреса - уникальные идентификаторы для каждого сетевого порта - совпадают с адресами в жестко заданных списках, встроенных непосредственно в вредоносную программу.
Исследователи «Лаборатории Касперского» идентифицировали около 600 MAC-адресов в хит-листах, что действительно является «небольшой группой пользователей». Но детали все еще неясны, так как мы не знаем, на кого именно нацелены вредоносные программы и как злоумышленники проникли на серверы обновлений Asus.
Asus также выпустила «инструмент диагностики безопасности для проверки уязвимых систем», который можно загрузить по адресу https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Это дополняет инструмент «Лаборатории Касперского», который проверяет наличие вредоносного ПО, и веб-страницу «Лаборатории Касперского», где вы можете проверить, есть ли какие-либо сетевые MAC-адреса вашего ПК Asus в списке обнаруженных вредоносных программ.
Исследователи «Лаборатории Касперского» заявили, что уведомили Asus о проблеме 31 января, но сообщили Ким Зеттер из Motherboard, что Asus изначально отрицала, что ее серверы были взломаны.