الأخبار الرئيسية في الأسبوع الماضي هي هجوم مستهدف على مالكي أجهزة Asus من خلال الأداة المساعدة Asus Live Update التي تم اختراقها. اكتشف باحثو Kaspersky Lab هجومًا في يناير من هذا العام: تم توقيع
أداة مصابة لتحديث برامج التشغيل على أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر التي تحتوي على مكونات Asus بشهادة شرعية وتم توزيعها من خوادم الشركة المصنعة. زود تعديل الأداة المساعدة المفرقعات بوصول كامل إلى جميع الأنظمة المتأثرة ، لكنها لم تستغل هذه الفرصة إلا عندما تطابق عنوان MAC لأحد محولات الشبكة في النظام مع قائمة الأنظمة ذات الاهتمام.
في هذه الحالة ، تم تنزيل برامج ضارة إضافية من الخادم الذي تم إنشاؤه في مارس 2018 وتوقفت عن العمل قبل اكتشاف الهجوم - في الوقت الحالي لأغراض غير معروفة. الهجوم ملحوظ بسبب تعقيده وشبحه. على الأرجح ، سبقته أحداث واسعة النطاق بهدف جمع المعلومات وتحديد الضحايا "الواعدين". على الرغم من أنه من السابق لأوانه الحديث عن الإسناد الدقيق للهجوم ، إلا أن هناك دليلًا يربطه بالحوادث السابقة مع الأداة 2017
CCleaner . سيتم نشر تحقيق كامل حول الهجوم في الأسبوع القادم وتقديمه في مؤتمر
محلل الأمن الخاص بمؤتمر Kaspersky Lab. في هذا المنصب - وصف موجز للحادث وبعض الاستنتاجات.
المصادر الأساسية:
الأخبار ،
مقتطفات من دراسة Kaspersky Lab ، مقالة مفصلة عن
اللوحة الأم ،
بيان رسمي من Asus. يمكنك التحقق من عنوان MAC لجهاز Asus الخاص بك باستخدام
هذه الخدمة عبر الإنترنت.
ماذا حدث
من يونيو إلى نوفمبر 2018 ، تم توزيع إصدار مصاب من الأداة المساعدة Asus Live Update من خوادم Asus. تم تثبيت البرنامج مسبقًا على أجهزة الكمبيوتر المحمولة الخاصة بهذه الشركة المصنعة ، ولكنه متاح أيضًا لأصحاب أجهزة الكمبيوتر المعتمدة على اللوحات الأم من Asus. يتيح لك تنزيل أحدث BIOS وبرامج التشغيل الثابتة وبرامج تشغيل الأجهزة وتثبيتها تلقائيًا. تم تحميل التطبيق الضار على خوادم البائع ، موقّعًا على شهادات الشركة الشرعية ، وتم توزيعه كتحديث للبرنامج. رديت لديه
مناقشة للسلوك الغريب للأداة ، على الرغم من أنه لم يثبت بعد ما إذا كان الحادث المذكور في الموضوع يرتبط بهذا الهجوم.
على الرغم من أن "الأداة المساعدة" قد تم تحديثها ، إلا أنها في الواقع إصدار قديم من البرنامج يحتوي على وظائف ضارة إضافية (يوجد هنا تحليل للشفرات الخبيثة التي يؤديها باحث مستقل). يمكن أن نخلص إلى أن البنية الأساسية لشركة Asus قد تعرضت جزئيًا للخطر: فقد تمكن المهاجمون من الوصول إلى خادم التحديث والشهادات الرقمية ، ولكن ليس إلى شفرة مصدر التطبيق وخوادم الإنشاء. تم اكتشاف أداة مساعدة خبيثة بفضل اختبارات تقنية جديدة تهدف إلى اكتشاف الهجمات في سلسلة التوريد (باللغة الإنجليزية - سلسلة التوريد) - عندما يقوم المهاجمون بمهاجمة البرامج أو الأجهزة بطريقة أو بأخرى قبل تسليمها إلى الضحية النهائية للمستهلك ، أو يعرقلون أدوات الخدمة و إدارة الجهاز أثناء العملية - تلك المعتادة التي تثق بها.
الذي يصب بأذى
إذا قمت بحساب جميع من قاموا بنقل الأداة "مع ملحق" ، فقد تأثر عشرات الآلاف من المستخدمين ، معظمهم من روسيا وألمانيا وفرنسا. ولكن هذا فقط وفقًا لـ Kaspersky Lab. في وقت لاحق ، قدمت شركة Symantec بياناتها الخاصة - حيث تم حساب 13 ألف نظام مصاب ، مع حصة أكبر من المستخدمين الأمريكيين. من الواضح أن هذا لا يتأثر جميعًا ، على الأرجح أن البرامج الضارة كانت على مئات الآلاف من الأنظمة. ولكن على معظم أجهزة الكمبيوتر التي تعرضت للهجوم ، لم تفعل الأداة شيئًا ، فقد فحصت عناوين MAC فقط مع قاعدة البيانات الخاصة بها. في حالة الصدفة من خادم القيادة (تم تسجيل asushotfix المجال [.] كوم لذلك) ، تم تحميل برنامج إضافي. في بعض الحالات ، كان المشغل عبارة عن مزيج من عناوين MAC لوحدات الشبكة السلكية واللاسلكية.
من مائتي عينة من الأداة المصابة ، تمكنا من استخراج حوالي 600 عنوان MAC للأنظمة التي كان هدف ShadowHammer يستهدفها حقًا. ما حدث بعد ذلك معهم لم يتضح بعد: توقف خادم الأوامر عن العمل حتى اكتشف الباحثون الهجوم. الحقائق المعروفة تنتهي هناك ، تبدأ الاستنتاجات.
إن تعقيد الهجوم لا يكاد يكون مفاجئًا لأي شخص - فهناك أمثلة على الهجمات المستهدفة ذات الاستثمارات الأكثر خطورة في مجال البحث والتطوير. من الخصائص المهمة لعملية ShadowHammer أنها هجوم ناجح على سلسلة التوريد. يتم توزيع البرنامج المصاب من خوادم الشركة المصنعة ، موقعة بواسطة شهادة الشركة المصنعة - على جانب العميل ، لا يوجد سبب لعدم الوثوق بمثل هذا السيناريو. في هذه الحالة ، نتعامل مع أداة مساعدة مثبتة مسبقًا ، ولكن تم أيضًا بنجاح الهجوم على برامج أخرى سابقة قام المستخدم عادةً بتثبيتها بمفرده. لدى خبراء Kaspersky Lab سبب للاعتقاد بأن هجوم ShadowHammer الجديد مرتبط بحادثين قبل عامين.
في الحالة الأولى ، تم تعديل الأداة المساعدة CCleaner المذكورة أعلاه ، كما تم توزيعها من خوادم الشركة المصنعة. في الحالة الثانية ، تم الهجوم على الشركة المصنعة للبرنامج لإدارة الأجهزة في شبكة NetSarang للشركات. من المحتمل أن تكون هناك هجمات أخرى قام خلالها المهاجمون بجمع عناوين MAC لأجهزة الكمبيوتر التي تهم الضحايا. في هذه القصة ، هناك تلميح واحد من الأسباب الحقيقية للإصابة الجماعية لأجهزة إنترنت الأشياء - كاميرات IP وأجهزة التوجيه وما شابه ذلك. لا يمكن دائمًا الوصول إلى البيانات المهمة من خلال جهاز مصاب ، ولكن يمكن جمع معلومات كافية لاستخدامها في العملية التالية الأكثر استهدافًا.
بطبيعة الحال ، فإن السؤال الذي يطرح نفسه هو الثقة في الشركات المصنعة للأجهزة والبرامج: إذا وصل تحديث البرنامج أو برنامج التشغيل من البائع ، فهل هذا آمن أم لا؟ ربما لا تزال تحتاج إلى الثقة ، وإلا فإن نقطة الضعف قد تنتقل ببساطة إلى مكان آخر. نرحب أيضًا بالاستجابة السريعة لهذه الحوادث من قِبل الشركة المصنعة. في حالة Asus ، وفقًا لشركة Kaspersky Lab ، فقد مر ما يقرب من شهرين من الإشعار الأول (نهاية يناير) إلى التأكيد الرسمي للمشكلة (26 مارس). أتساءل ما التقنيات التي سيتم استخدامها للكشف بسرعة عن مثل هذه الهجمات؟ هناك شيء يجب العمل عليه لكل من مصنعي برامج الأمان والبائعين. لا تزال هناك حالات قليلة لاستخدام شهادة شرعية لتوقيع البرامج الضارة ، ولكن مجرد وجود توقيع رقمي لم يعد من الممكن أن يصبح المعيار الوحيد لتقييم البرنامج.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بشك صحي.