Razer: myszy z pasożytami

.. / Oprogramowanie / Zarządzanie systemem: Patche/uaktualnienia
.. / Sprzęt / Urządzenia wejścia/wyjścia: Myszy

Użytkownicy myszy i klawiatur marki Razer stali się ostatnio celem skomplikowanego ataku przestępczego - ktoś włamał się do komputera jednego z pracowników firmy i zdołał umieścić złośliwe oprogramowanie w jednej z wersji firmware'u dla urządzeń peryferyjnych. To sprawiło, że osoby pobierające ze strony Razer uaktualnienia oprogramowanie mogły zarazić swój system koniem trojańskim.

O całej sprawie poinformowali pracownicy firmy Trend Micro (producenta oprogramowania antywirusowego). Wszystko zaczęło się, gdy klienci tej firmy zaczęli zgłaszać do pomocy technicznej nietypowe infekcje - po dokładniejszej analizie okazało się, że wszyscy poszkodowani korzystali z klawiatur lub myszy tej samej marki. Specjaliści z Trend Micro sprawdzili więc pliki dostępne w sekcji z aktualizacjami na stronie Razer - okazało się, że aż w 8 z nich umieszczone było złośliwe oprogramowanie. "Gdy tylko udało nam się to na 100% potwierdzić, skontaktowaliśmy się z przedstawicielami Razer. Zareagowali błyskawicznie - natychmiast zablokowali podstronę z aktualizacjami" - mówi Rik Ferguson.

Okazało się, że ktoś zdołał zainfekować pliki sterowników oraz firmware koniem trojańskim o nazwie WORM.ASPXOR.AB. Na razie nie wiadomo, jak dokładnie do tego doszło - najbardziej prawdopodobne wytłumaczenie jest takie, że przestępca zdołał uzyskać nieautoryzowany dostęp do komputera jednego z pracowników zespołu odpowiedzialnego za przygotowywanie uaktualnień (choć niewykluczone jest też, że ktoś włamał się na stronę WWW firmy i podmienił umieszczone tam pliki). Wszystko wskazuje na to, że operacja była dobrze zaplanowana - wybrany przez przestępcę "szkodnik" jest stosunkowo mało znany i rzadko wykrywany przez aplikacje antywirusowe. "Obecnie tylko 7 firm oferuje program AV, który potrafi wykryć to zagrożenie" - mówi Feruson.

Specjalista dodaje, że również wybór celu ataku wydaje się nieprzypadkowy. Akcesoria Razer są wykorzystywane przez wielu graczy - a ci mają często w zwyczaju wyłączanie oprogramowania antywirusowego (by zmniejszyć obciążenie procesora i przyśpieszyć działanie gier). Są więc łatwym celem ataku - w sprzyjających (przestępcy) okolicznościach trojan mógłby nie zostać wykryty przez wiele tygodni.

Na razie dokładnie nie wiadomo, jak długo złośliwe oprogramowanie było dostępne na stronie Razer - ale z analiz przeprowadzonych przez Trend Micro wynika, że najprawdopodobniej umieszczono je tam nie dawniej niż tydzień temu.

Rzecznik firmy - Heathcliff Hatcher - na razie nie mówi zbyt wiele na temat całego incydentu. Zaznaczył on jedynie, że Razer intensywnie współpracuje z Trend Micro, by wyjaśnić wszystkie okoliczności zawirusowania firmware'u. Strona firmy działa - ale sekcja z plikami do pobrania (m.in. sterownikami oraz uaktualnieniami firmware'u) wciąż pozostaje wyłączona. Zamiast niej internauci widzą informację o "przerwie z powodów technicznych" lub komunikat o błędzie 404.

Warto wspomnieć, że to nie pierwsza taka wpadka w historii branży - przed kilku laty Apple wprowadził na rynek partię iPodów, w pamięci których znajdował się niebezpieczny wirus infekujący Windows, zaś krótko później Seagate przypadkowo umieścił na serii twardych dysków złośliwe oprogramowanie.

Dodajmy, że klientom, którzy w ciągu ostatniego tygodnia pobierali sterowniki lub firmware dla produktów Razera, specjaliści zalecają staranne sprawdzenie systemu przy pomocy uaktualnionej aplikacji antywirusowej. W przypadku wykrycia kopii trojana WORM.ASPXOR.AB, należy je skasować.