Laut Kaspersky Lab überwachen Hacker der ShadowHammer APT-Gruppe den ASUS Live Update-Dienst seit 5 Monaten und haben weltweit mehr als eine halbe Million Computer infiziert.
Forscher von Kaspersky Lab stellten
fest, dass sich Angreifer im vergangenen Jahr in den ASUS-Server gehackt hatten, der für die Aktualisierung der Software des Unternehmens verantwortlich war. Angreifer haben auf dem Server eine schädliche Datei mit einer Hintertür abgelegt, die mit einem gültigen ASUS-Zertifikat signiert ist.
Kompromittiertes Zertifikat 05e6a0be5ac359c7ff11f4b467ab20fc:
[image - securelist.com]Die Mehrheit der von Experten von Kaspersky Lab entdeckten infizierten Objekte befand sich in Russland (etwa 18%). Laut Symantec wurden im vergangenen Jahr in den USA mindestens 13.000 Computer der Kunden des Unternehmens mit einem Malware-Update von ASUS infiziert.
Infektionsstatistik:
[image - securelist.com]Es wird angenommen, dass die Angreifer etwa 600 Ziele kompromittieren sollten, die durch die MAC-Adressen von Computern identifiziert wurden.
Die Malware suchte anhand ihrer eindeutigen MAC-Adressen nach Zielsystemen. Sobald das Schadprogramm im System eine dieser Zieladressen gefunden hatte, griff es auf den Befehls- und Kontrollserver zu, auf dem die Angreifer gearbeitet hatten. Anschließend wurde zusätzliche Malware auf diesen Computern installiert.
Die folgenden Knoten waren an dieser APT beteiligt:
&C:
asushotfix[.]com
141.105.71[.]116Verbreitung:
hxxp: //liveupdate01.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER365.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER362.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER360.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER359.zip
"Dieser Angriff zeigt, dass das von uns verwendete Vertrauensmodell, das auf bekannten Anbieternamen und der Überprüfung der digitalen Signatur basiert, nicht garantieren kann, dass Sie vor Malware geschützt sind", sagte Vitaliy Kamlyuk, Direktor des Global Research and Analysis Laboratory im asiatisch-pazifischen Raum Kaspersky. " Er bemerkte, dass ASUS den Hack in keiner Weise kommentierte und Nachrichten von Kaspersky Lab-Experten über den gehackten Dienst und das kompromittierte Zertifikat ignorierte.
Zusätzliche Anfragen von Motherboard und Symantec wurden an das Unternehmen gesendet.
Ein Dienstprogramm, mit dem Sie überprüfen können, ob Ihre MAC-Adresse in der Prioritätsliste enthalten ist.
Online-Prüfung .