Maliciozna ASUS ažuriranja zarazila pola miliona računara!
Operacija ShadowHammer je najnoviji napad na logističku mrežu. Broj sličnih napada raste iz godine u godinu!
Pojavila se vest da tehnološka kompanija ASUS isporučuje malver kroz svoj automatizovani sistem za ažuriranje softvera. Na osnovu Symantec analize, napad na logističku mrežu započeo je u junu 2018. god i trajao je najmanje do oktobra. Procenjuje se da je pogođeno oko pola miliona računara. Ažuriranja sadrže backdoor trojanca koji pokušava da se poveže sa serverom pod kontrolom napadača. Takođe, ažuriranja su potpisana legitimnim ASUS digitalnim sertifikatima.
Maliciozno ažuriranje pretražuje tačno određene uređaje na osnovu njihovih jedinstvenih MAC adresa. Kad ih pronađe, pokušava da se poveže sa asushotfix[.]com. Ovaj domen je trenutno offline.
Ko je pogođen?
Symantec telemetrija pokazuje da je najmanje 13.000 računara koji pripadaju njihovim korisnicima dobilo ova ažuriranja. 80% žrtava su privatni, a 20% poslovni korisnici. Maliciozni softver je ravnomerno distribuiran žrtvama širom sveta. Stručnjaci iz Kaspersky Lab, koji su otkrili napad, navode da je preko 57.000 njihovih korisnika pogođeno napadom, a procenjuju da je ukupan broj žrtava čak milion ljudi!
Za sada je poznato da napadači nisu bili zainteresovani za sve žrtve, već da su akcenat stavili na oko 600 uređaja, odnosno MAC adresa. Preko ovog linka možete proveriti da li se vaša MAC adresa nalazi na listi napadača.
Napadi na logističku mrežu predstavljaju pokušaje da se kompromitovanjem najslabije karike u lancu (third-party servisa ili softvera) dođe do prave mete napada. Postoje i druge vrste ovih napada (kompromitovanje hardvera u proizvodnji, npr.), ali maliciozna ažuriranja softvera spadaju u najčešće. Pisali smo, recimo, o slučaju kada su hakeri kompromitovali CCleaner ažuriranja kako bi došli do pravih, ciljanih meta - oko 20 tehnoloških giganata među kojima su bili Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai i Vmware.
Symantec detektuje maliciozna ažuriranja kao Trojan.Susafone, Trojan.Susafone!gen1, Trojan. Susafone!gen2 i Trojan.Susafone!gen.
U nedavno objavljenom Symantec ISTR izveštaju videli smo da su se napadi na logističku mrežu u 2018. povećali za čak 78%!
Ovakvi napadi pokazuju da opšte prihvaćeni model poverenja baziran na imenu vendora i validaciji putem digitalnih potpisa ne može biti garancija da smo bezbedni od malvera.
Izvor: Symantec Blog i Kaspersky Lab