Útok na systém softwarových aktualizací Asus se mohl dotknout statisíců uživatelů

27. 3. 2019
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Odborníci společnosti Kaspersky Lab zjistili, že útočníci stojící za operací ShadowHammer zacílili na uživatele Asus Live Update Utility. Tento systém softwarových aktualizací je přitom předinstalovaný ve většině počítačů značky Asus.

Odborníci společnosti Kaspersky Lab odhalili novou pokročilou trvalou hrozbu (APT), která může mít za oběť velké množství uživatelů. Bezpečnostní tým zjistil, že útočníci odpovědní za operaci ShadowHammer cílí na uživatele Asus Live Update Utility.

Mezi červnem a listopadem 2018 se hackerům podařilo do systému softwarových aktualizací dostat tzv. zadní vrátka. Kaspersky Lab odhaduje, že se tento útok mohl dotknout více než milionu uživatelů po celém světě.

Kybernetická společnost uvádí, že útoky na dodavatelský řetězec jsou jedním z nejnebezpečnějších a nejefektivnějších způsobů infekce. Tento typ útoku se zaměřuje na konkrétní slabiny v propojených systémech životního cyklu produktu.

Útočníci tak mohou daný systém napadnout v jakoukoli chvíli od počáteční fáze vývoje produktu až po jeho doručení k zákazníkovi. Může se tak stát, že i když má prodejce svoji infrastrukturu dobře zabezpečenou, vyskytnou se zranitelnosti u jeho dodavatelů a ty ohrozí celý dodavatelský řetězec.

Cíl: Systém softwarových aktualizací

Kaspersky Lab informuje, útočníci odpovědní za ShadowHammer si za počáteční bod své infekce vybrali systém softwarových aktualizací Asus Live Update Ability, který se nachází ve většině počítačů značky Asus.

Díky ukradeným oficiálním digitálním certifikátům, kterými Asus podepisoval své sestavy, manipulovali útočníci podle kybernetické společnosti se staršími verzemi softwaru tohoto prodejce, do kterých vpravili škodlivý kód.

Ačkoliv se obětí tohoto útoku mohli stát všichni uživatelé dotčených softwarů, hackeři stojící za útočnou operací ShadowHammer se zaměřili pouze na několik stovek z nich, o kterých už měli nějaké informace.

Odborníci z Kaspersky Lab zjistili, že kód každého backdooru obsahoval tabulku s ručně vepsanými MAC adresami. Po svém spuštění na napadeném zařízení backdoor ověřil svou MAC adresu s touto tabulkou. Pokud se MAC adresa s jednou z uvedených shodovala, stáhnul malware další část škodlivého kódu.

bitcoin školení listopad 24

V opačném případě infiltrovaná aktualizace neprovedla žádnou síťovou aktivitu, což je také důvod, proč zůstal tento útok dlouho neobjeven. Celkem identifikovali odborníci více než 600 MAC adres, které byly napadeny více než 230 unikátními backdoory.

Zdroj: Kaspersky Lab

Čtěte dále

Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA