Asus, en av världens största datortillverkare, blev utsatta för en riktad attack mot deras uppdateringssystem. Attacken, som namngavs Shadow Hammer, upptäcktes av säkerhetsföretaget Kaspersky Lab som notifierade Asus den 31 januari. Att attacken skett tillkännagavs öppet av Asus den 20 mars, då även att attacken hade pågått sedan juni 2018 utan att upptäckas. En halv miljon datorer uppskattas ha blivit infekterade och 600 möjliga specifika mål har upptäckts.

 

Intrång i Asus uppdateringssystem

Genom att sa sig in i Asus uppdateringssystem kunde förövare byta ut de officiella uppdateringspaketen mot sina egna, preparerade med en bakdörr. De använda även Asus officiella certifikat för att signera dessa paket samt såg till att de utbytta paketen var exakt lika stora som originalen. Det fanns därför ingenting som såg suspekt ut då uppdateringen laddades ner.

Forskare hos Kaspersky uppskattade att den infekterade uppdateringen nådde ut till en halv miljon användare, men efter att ha analyserat över 200 prover av bakdörren gjordes ett fynd: 600 hårdkodade MAC-adresser hittades. En MAC-adress fungerar som en unik kod för att identifiera en dator – mer specifikt ett nätverkskort. Förövarna hade därför lämnat en ledtråd till de riktiga målen med attacken. Hos Kaspersky drogs då slutsatsen att det rör sig om en riktad så kallad apt-attack, vilket står för Advanced Persistent Threat. Denna typ av attack är ofta långvarig, diskret och med ett särskilt mål.

Om datorns MAC-adress matchade någon given i listan så hämtades yterliggare skadlig kod ner. Om adressen inte matchade agerade inte bakdörren, men den gav fortfarande förövarna tillgång till det infekterade systemet.

 

Hur skyddar man sig?

Asus har släppt uppdateringar som stoppar bakdörren via sitt uppdateringssystem, därav är det sannolikt att du redan är säker. Vill du garantera din säkerhet rekommenderar CYPRO att hämta Asus och/eller Kasperskys verktyg för diagnostisering och upptäckt av Shadow Hammer-bakdörren. Dessa verktyg jämför din MAC-adress med den funna listan. Det finns även ett online-verktyg utvecklat av Kaspersky tillgängligt, vilket kräver din MAC-adress.

 

Av Max Kardos, CYPRO.

SwedishEnglish