În sfârșit, Asus a emis o declarație astăzi (26 martie) cu privire la hacking-ul propriilor servere de actualizare a firmware-ului, la mai mult de 24 de ore după ce Vice Motherboard și Kaspersky Lab au dezvăluit public problema și la aproape două luni după ce Kaspersky Lab a notificat Asus că serverele sale au fost sparte. .
Credit: Roman Arbuzov / Shutterstock
„Un număr mic de dispozitive au fost implantate cu cod rău intenționat printr-un atac sofisticat asupra serverelor noastre Live Update, în încercarea de a viza un grup de utilizatori foarte mic și specific”, se arată într-un comunicat al companiei. „Serviciul pentru clienți Asus a contactat utilizatorii afectați și a oferit asistență pentru a asigura eliminarea riscurilor de securitate.”
Cel puțin 70.000 de dispozitive Asus au fost infectate cu firmware-ul Asus corupt, așa cum este documentat de Kaspersky Lab și Symantec, care au obținut numerele de pe computerele care rulează propriul software antivirus al acestor companii. Cercetătorii Kaspersky Lab estimează că un milion de computere Asus din întreaga lume ar fi putut fi infectate, ceea ce este, fără îndoială, un număr mic.
Asus a declarat în comunicatul său de presă că a luat măsuri pentru consolidarea securității procesului de actualizare, dar nu a făcut nicio mențiune despre modul în care atacatorii - considerat a fi un echipaj de hacker vorbitori de chineză, cu legături cu guvernul chinez - au reușit să pătrunde în serverele Asus și fură certificatele de semnare digitală Asus care au validat malware-ul ca fiind legitim.
„Asus a implementat, de asemenea, o soluție în cea mai recentă versiune (versiunea 3.6.8) a software-ului Live Update, a introdus mai multe mecanisme de verificare a securității pentru a preveni orice manipulare rău intenționată sub formă de actualizări de software sau alte mijloace și a implementat o finalizare îmbunătățită. până la capăt mecanism de criptare ", se spune în comunicatul de presă. „În același timp, am actualizat și consolidat arhitectura software de la server la utilizator pentru a preveni atacuri similare în viitor.”
În perioada iunie - noiembrie 2022-2023, programele malware au fost livrate către computerele Asus din întreaga lume, direct de la serviciile de actualizare firmware ale Asus. Programul malware creează un „backdoor” care permite descărcarea și instalarea mai multor programe malware fără autorizarea utilizatorului.
Cu toate acestea, malware-ul rămâne inactiv pe aproape toate sistemele, activându-se numai pe computerele individuale vizate în mod specific ale căror adrese MAC - identificatori unici pentru fiecare port de rețea - se potrivesc cu cele de pe listele codificate hard integrate în malware.
Cercetătorii Kaspersky au identificat aproximativ 600 de adrese MAC pe listele de accesări, care este într-adevăr un „grup mic de utilizatori”. Dar specificațiile sunt încă neclare, deoarece nu știm cine vizează exact malware-ul sau cum au intrat atacatorii în serverele de actualizare Asus.
Asus a lansat, de asemenea, un „instrument de diagnostic de securitate pentru a verifica sistemele afectate” care poate fi descărcat de la https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip.
Aceasta completează un instrument Kaspersky Lab care verifică prezența malware-ului și o pagină web Kaspersky Lab, unde puteți verifica dacă oricare dintre adresele MAC ale rețelei computerului dvs. Asus sunt pe lista de accesare a malware-ului.
Cercetătorii Kaspersky au declarat că l-au notificat pe Asus cu privire la problema pe 31 ianuarie, dar i-au spus lui Kim Zetter de pe placa de bază că Asus a negat inițial faptul că serverele sale au fost sparte.