卡巴斯基实验室指出,华硕 Live Update 服务器遭到破解,并且被骇客武器化,受害者可能有数十万规模。
此事在去年就已开始,于今年 1 月被发现,不过华硕目前似乎还没有向用户告知相关讯息。据卡巴斯基实验室的研究人员表示,骇客透过华硕官方的服务器在用户的计算机上安装后门,且使用的是合法的华硕数位签证,使其看起来像真的软件更新。在被发现之前,此攻击可能已持续了半年以上。
卡巴斯基实验室全球研究和分析团队亚太区总监 Vitaly Kamluk 表示,当研究人员在今年初联系华硕时,该公司拒绝承认其服务器遭到入侵,并表示此恶意软件是来自其他网络。但卡巴斯基所收集的恶意软件样本的下载路径是明确的指向华硕服务器。该恶意软件伪装成 setup.exe,据称是对更新工具本身的更新,且签证是有效的。
▲ 被木马化的华硕数位签证序号 05e6a0be5ac359c7ff11f4b467ab20fc。(Source:卡巴斯基)
供应链资安隐忧大
卡巴斯基强调,这突显了来自供应链的资安问题,虽然这也不是首见,此前就有间谍工具针对微软更新来欺骗用户电脑下载恶意软件。不过不太一样的是,当时骇客是重新定向受害者电脑连上假的更新服务器。类似的案例还有很多,例如 CCleaner 也曾被发现透过软件更新向用户散播恶意软件,还有臭名昭著的 notPetya 攻击等。
不过卡巴斯基董事 Costin Raiu 指出,此次劫持华硕服务器的手法更加漂亮,在类似的资安威胁中更加的隐密及难以察觉,且只要不激活基本上很难被用户发现,但即使在非目标系统上保持沉默,此攻击途径也形同骇客在每个受感染的 ASUS 系统上装有后门,且范围是相当大规模的。在今年初卡巴斯基刚发现时就有近 57,000 名用户被感染,而目前样本仅来自于卡巴斯基自己的付费客户,实际受害者可能高达数十万。
▲ 目前推估的全球各地区受害者数量。(Source:卡巴斯基)
骇客有针对性
不过有趣的是,此种骇客攻击是阶段性且有明确的目标性,是一种外科手术式的精准攻击,其透过辨识对方的硬件位址来确定是否为攻击目标之后才激活软件。而这也表示,骇客已提前知道目标的具体硬件位址,而不是随机选择。目前卡巴斯基,只能从恶意软件样本中解析出 600 多个硬件位址清单,无从得知全貌,也没办法知道第二阶段受害者的身份是谁。
此次攻击手法被命名为 ShadowHammer,目前卡巴斯基研究人员认为此次骇客与ShadowPad 和 CCleaner 攻击是同一批团队。华硕原本就是 CCleaner 攻击的主要目标之一,并推测以此获得对华硕服务器的访问权限。目前确认到骇客使用两种不同的华硕数位签证来签署他们的恶意软件,一个已在 2018 年中期到期,然而骇客随即切换到第二个合法签证。目前华硕对此仍无回应。
其实这也不是华硕首次面临资安危机,早在 2016 年就被美国联邦贸易委员会指责,华硕的网通产品有不少漏洞,可能面临骇客威胁,而华硕承诺建立一项全面性的资安计划,并进行 20 年期的独立审查。
自检措施
卡巴斯基已针对此次攻击推出了检测工具,民众可以透过线上检查 MAC 网址,来确定自己是否是被攻击的目标,并希望受害者能尽速与卡巴斯基联络。技术详情可参考此网页 Operation ShadowHammer 。
- Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
- Hijacked ASUS software updates installed backdoor on at least 0.5 million PCs
- Hackers hijacked update server to install backdoors on ASUS machines
- Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers
(首图来源:shutterstock)
延伸阅读:
- 微软资安报告,亚太区成挖矿恶意程式的重灾区
- Facebook 多年来用明码存使用者密码,员工能轻易搜寻上亿密码
- 诺基亚手机偷传数据给中国,惊动芬兰监管单位
- 路由器设计缺陷害数万使用者曝险,华硕终于与美国贸易委员会达成和解
