Сьогодні, 26 березня, Asus нарешті оприлюднив заяву щодо злому власних серверів оновлення прошивки, більш ніж через 24 години після того, як Vice Motherboard та Лабораторія Касперського публічно розкрили проблему та майже через два місяці після того, як Лабораторія Касперського повідомила Asus про те, що її сервери були зламані. .
Автор: Роман Арбузов/Shutterstock
"Невелика кількість пристроїв була імплантована зловмисним кодом через складну атаку на наші сервери Live Update, намагаючись націлитись на дуже невелику та конкретну групу користувачів", - йдеться у заяві компанії. "Служба підтримки клієнтів Asus звертається до постраждалих користувачів та надає допомогу, щоб гарантувати усунення ризиків безпеки".
Щонайменше 70 000 пристроїв Asus були заражені пошкодженою прошивкою Asus, як зафіксовано Лабораторією Касперського та Symantec, які отримали дані з ПК, на яких працює власне антивірусне програмне забезпечення цих компаній. Дослідники Лабораторії Касперського оцінюють мільйон комп’ютерів Asus у всьому світі, можливо, це не мала кількість.
У прес-релізі компанії Asus сказано, що вона вжила заходів для посилення безпеки процесу оновлення, але не згадує про те, як зловмисникам, які вважаються китайськомовною групою хакерів і мають зв'язки з урядом Китаю, вдалося проникнути на сервери Asus і викрасти сертифікати цифрового підпису Asus, які підтвердили зловмисне програмне забезпечення як законне.
"Asus також впровадив виправлення в останній версії (версія 3.6.8) програмного забезпечення Live Update, запровадив численні механізми перевірки безпеки для запобігання будь-яким зловмисним маніпуляціям у вигляді оновлень програмного забезпечення або інших засобів, а також впровадив покращений механізм шифрування "до кінця",-йдеться у повідомленні для преси. "Водночас ми також оновили та зміцнили архітектуру програмного забезпечення" сервер-кінцевий користувач ", щоб запобігти повторенню подібних атак у майбутньому".
У період з червня по листопад 2022-2023 років шкідлива програма була доставлена на комп'ютери Asus по всьому світу безпосередньо з власних служб оновлення прошивки Asus. Зловмисне програмне забезпечення створює "бекдор", який дозволяє завантажувати та встановлювати більше шкідливого програмного забезпечення без дозволу користувача.
Однак шкідливе програмне забезпечення лежить у стані спокою майже у всіх системах, активуючись лише на окремих цільових ПК, чиї MAC -адреси - унікальні ідентифікатори для кожного мережевого порту - відповідають тим, що містяться у жорстко кодованих списках, вбудованих безпосередньо у шкідливе програмне забезпечення.
Дослідники Kaspersky виявили близько 600 MAC -адрес у списках звернень, що насправді є "малою групою користувачів". Але особливості поки невідомі, оскільки ми не знаємо, на кого саме націлена шкідлива програма, або як зловмисники потрапили на сервери оновлення Asus.
Asus також випустив "інструмент діагностики безпеки для перевірки на наявність проблемних систем", який можна завантажити за адресою https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Це доповнює інструмент «Лабораторії Касперського», який перевіряє наявність шкідливого програмного забезпечення, та веб -сторінку «Лабораторії Касперського», на якій можна перевірити, чи є якась із мережевих MAC -адрес вашого комп'ютера Asus у списку звернень шкідливого програмного забезпечення.
Дослідники Kaspersky сказали, що вони повідомили Asus про цю проблему 31 січня, але повідомили Kim Zetter з материнської плати, що Asus спочатку заперечував, що його сервери були зламані.