Selon Kaspersky Lab, des pirates informatiques du groupe ShadowHammer APT surveillent le service ASUS Live Update depuis 5 mois et ont infecté plus d'un demi-million d'ordinateurs dans le monde.
Les chercheurs de Kaspersky Lab ont
découvert que l'année dernière, des attaquants ont piraté le serveur ASUS, qui était responsable de la mise à jour du logiciel de l'entreprise. Les attaquants ont placé sur le serveur un fichier malveillant avec une porte dérobée, signé par un certificat ASUS valide.
Certificat compromis 05e6a0be5ac359c7ff11f4b467ab20fc:
[image - securelist.com]La majorité des objets infectés détectés par les experts de Kaspersky Lab se trouvaient en Russie (environ 18%). Selon Symantec, au moins 13 000 ordinateurs appartenant aux clients de l'entreprise ont été infectés par une mise à jour de logiciels malveillants d'ASUS l'année dernière aux États-Unis.
Statistiques sur les infections:
[image - securelist.com]Il est supposé que les attaquants devaient compromettre environ 600 cibles, qui ont été identifiées par les adresses MAC des ordinateurs.
Le malware a recherché les systèmes cibles par leurs adresses MAC uniques. Une fois dans le système et en trouvant l'une de ces adresses cibles, le malware s'est tourné vers le serveur de commande et de contrôle sur lequel les attaquants ont travaillé, après quoi un malware supplémentaire a été installé sur ces machines.
Les nœuds suivants ont été impliqués dans cet APT:
&C:
asushotfix[.]com
141.105.71[.]116Distribution:
hxxp: //liveupdate01.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER365.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER362.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER360.zip
hxxps: //liveupdate01s.asus [.] com / pub / ASUS / nb / Apps_for_Win8 / LiveUpdate / Liveupdate_Test_VER359.zip
«Cette attaque montre que le modèle de confiance que nous utilisons, basé sur des noms de fournisseurs bien connus et une vérification de signature numérique, ne peut garantir que vous êtes protégé contre les logiciels malveillants», a déclaré Vitaliy Kamlyuk, directeur du laboratoire mondial de recherche et d'analyse pour l'Asie-Pacifique. Kaspersky. " Il a noté qu'ASUS n'avait fait aucun commentaire sur le piratage et ignoré les messages des experts de Kaspersky Lab concernant le service piraté et le certificat compromis.
Des demandes supplémentaires de la carte mère et de Symantec ont été envoyées à la société.
Un utilitaire pour vérifier si votre adresse MAC est sur la liste des priorités.
Chèque en ligne .