ShadowHammer infekuje Asusy wraz z... firmware [aktualizacja 27.03.2019]

Masz komputer lub laptopa marki Asus? Lepiej odinstaluj na razie Asus Live Update, ponieważ możesz bardzo poważnie narazić swój system.

Co najmniej ponad 57 000 osób - a ogólna liczba może sięgać nawet miliona! - pobrało i zainstalowało oprogramowanie Asus Live Update z nieprzyjemną niespodzianką - jest nią backdoor, który znajduje się na... oficjalnych serwerach firmy Asus.

Odkrycia dokonali inżynierowie z Kaspersky Lab. Szkodnik nosi nazwę ShadowHammer i - na szczęście - zaszkodził dotychczas niewielkiej liczbie użytkowników, albo... tylko o niewielu wiemy, ponieważ śledztwo wciąż trwa. Wiadomo już, że wirus występuje na całym świecie, a jak dotąd największą ilość razy zaobserwowano go w Niemczech oraz Rosji, a także USA. Z punktu widzenia bezpieczeństwa najbardziej zdumiewającym aspektem szkodnika jest to, że jest on cyfrowo podpisany i nie do odróżnienia od właściwych plików aktualizacyjnych Asusa. Live Update znajduje się na serwerach firmy, co oznacza, że ShadowHammer również tam gości, a co więcej - jako że Live Update jest preinstalowany na maszynach Asus trafiających do sprzedaży, można nabyć fabrycznie nowy sprzęt z tym dodatkiem.

Oprogramowanie Asus Live Update zostało stworzone z myślą o tym, aby użytkownicy mieli zawsze najświeższe firmware - BIOS, sterowniki, aplikacje firmowe. Jeśli ShadowHammer umożliwia pobieranie spreparowanego oprogramowania dla BIOS-u, oznacza to, że haker stojący za szkodnikiem może przejąć całą maszynę. Jak wyjaśniają eksperci z Kaspersky:

"(...)ofiarą mógł stać się potencjalnie każdy użytkownik zainfekowanego oprogramowania, [ale] osoby stojące za kampanią ShadowHammer skupiły się na uzyskaniu dostępu do maszyn kilkuset użytkowników, o których wcześniej coś wiedzieli. Badacze z Kaspersky Lab wykryli, że każdy kod trojana zawierał tablicę zakodowanych na sztywno adresów MAC, które stanowią unikatowy identyfikator kart sieciowych wykorzystywanych do łączenia komputera z siecią. Po uruchomieniu się na urządzeniu ofiary szkodnik sprawdzał, czy jego adres MAC znajduje się w takiej tabeli. Jeśli adres odpowiadał jednemu z wpisów, trojan pobierał kolejną część szkodliwego kodu. Eksperci ds. bezpieczeństwa zdołali zidentyfikować w sumie ponad 600 adresów MAC ofiar. Zostały one zaatakowane przy użyciu ponad 230 unikatowych próbek zawierających trojana(...)."

Celem ShadowHammer był atak na łańcuch dostaw, polegający na wykorzystaniu konkretnych, słabych punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu. Mógł dotyczyć dużej liczby partnerów ASUS, jednak póki co nie wiadomo, jakie miał zadanie po "dotarciu do celu", tych zaś było co najmniej 600. Jeśli masz maszynę Asus, tutaj pobierzesz specjalnie przygotowane narzędzie, które pozwoli sprawdzić, czy jej adres MAC znajduje się na liście. Pozwala na to również specjalnie uruchomiona strona internetowa. Prawdopodobnie możesz odetchnąć po tym z ulgą - twórca (twórcy?) szkodnika celują w biznes, nie prywatnych użytkowników.

Asus podał 27 marca, że zainfekowane narzędzie Live Update trafiło do niewielkiej liczby urządzeń. Samo Live Update zostało zaktualizowane. Użytkownicy, którzy padli ofiara ataku, jak i ci, którzy nie zauważyli żadnych zmian, powinni zaktualizować je do najnowszej wersji, oznaczonej numerem 3.6.8. Możesz także sprawdzić, czy Twoja maszyna ASUS padła ofiarą ataku za pomocą specjalnego, przygotowanego właśnie w tym celu narzędzia - jest do pobrania tutaj. Producent dodał także, że wprowadził nowe mechanizmy weryfikacji, które mają zapobiec podobnym incydentom. Zaktualizowano również architekturę serwerów.

Jeśli chcesz samodzielnie odinstalować oprogramowanie - wejdź w ustawienia systemu, następnie do działu System. Tam wybierz Aplikacje, znajdź ASUS GiftBox, kliknij na nim lewym przyciskiem myszki i wybierz funkcję odinstalowania.

Dobrze pomyśleć o porządnym antywirusie, który będzie w stanie wykryć zagrożenie. Zobacz nasz ranking top 10 antywirusów 2019!