Az automatikus frissítések révén akár egymillió számítógép kaphatott malware-t tartalmazó firmware-eket.

A Kaspersky Lab kutatói bejelentették, hogy akár egymillió, ASUS által gyártott rendszer is megfertőződhetett egy ShadomHammernek nevezett támadás során, amely 600 gépet célzott a MAC-címük alapján. Arról nincs adat, hogy a támadók szándékai mik voltak, de az ASUS Live Update rendszerét használták ki, így a vállalat saját fejlesztésű, frissítésre kialakított szoftverén keresztül terjesztették a fertőzött firmware-eket.

A támadók a kártékony kódot tartalmazó frissítéseket az ASUS digitális tanúsítványaival írták alá, így látszatra hivatalos csomagoknak tűntek, de nem voltak azok, és így a becslések szerint akár egymillió ASUS termékre jutottak el a fertőzött firmware-ek. Ezek között egyébként a támadás nem válogatott, az alaplapoktól kezdve, az asztali és mobil gépeken át, a különböző egyéb eszközökig sok megoldás áldozatul eshetett.

Malware

A Kaspersky Lab beszámolója szerint a saját szoftvereiket használó rendszerek szempontjából 57 ezer gépnél detektáltak fertőzött kódot, és az említett cég elemzéseit megerősítette a Symantec is, amely vállalat úgy látja, hogy a saját felhasználói közül 13 ezren estek áldozatul. A támadás mögött egyébként feltételezhetően az asushotfix.com oldal áll, ami egy orosz szerverről üzemel.

A Kaspersky Lab szerint a fertőzés az előző évben történt, de csak idén tudták felfedezni. Elvileg azért maradhatott ilyen sokáig észrevétlen az egész, mert ugyan korábban is volt már példa arra, hogy elvileg megbízható szoftvereken keresztül jutott be a kártékony kód a rendszerekben, de az ASUS Live Update esetében a hátsó ajtó beépítése célzottan, bizonyos MAC-címekkel rendelkező rendszerek ellen történt. Vagyis, ha egy adott hardver MAC-címe nem egyezik meg a kijelölt eszközökével, akkor a malware ugyan ott van a gépen, de csak csendben és észrevétlenül, konkrét feladatot nem végez. Ettől függetlenül már ennek a jelenléte is probléma, hiszen bármikor ki tudják nyitni a hátsó ajtót a támadók a fertőzött rendszereken.

A Kaspersky Lab a probléma felfedezése után, még januárban értesítette az ASUS-t, illetve személyesen is találkoztak a cég delegáltjaival, viszont az tajvani vállalat még nem tájékoztatta a felhasználókat az ASUS Live Update rendszer megfertőződéséről, illetve a jogosulatlanul használt digitális tanúsítványokat sem tiltatták le, vagyis a támadók még ma is képesek fertőzni az ASUS által kínált rendszereket.

Az egyetlen megoldás az ASUS Live Update mellőzése, mivel ilyenkor a felhasználó manuálisan dönt az egyes firmware-ek telepítéséről, így ellenőrizni tudja, hogy azok tényleg az ASUS weboldalairól származnak-e, de akár opció a gyárilag telepített firmware meghagyása is, ami garantáltan nem problémás.

Forrás: prohardver.hu