Hakeri uzlauzuši Asus programmatūras atjauninājumus, lai instalētu lūkas tūkstošos datoru

2019. gada 27. martā
Tiek uzskatīts, ka Taivānas tehnoloģiju milzis ar savu pilnvaroto programmatūras automātiskās atjaunināšanas rīku ir veicis ļaunprogrammatūras pašpiegādi simtiem tūkstošu klientu pēc tam, kad uzbrucēji bija ielauzušies uzņēmuma serverī un izmantojuši to ļaunprogrammatūras piegādei uz ierīcēm.

Kaspersky Lab pētnieki apgalvo, ka viens no pasaulē lielākajiem datoru ražotājiem Asus pagājušajā gadā ir izmantots, lai negribot instalētu ļaunprātīgu lūku tūkstošos klientu datoru pēc tam, kad uzbrucēji uzlauza uzņēmuma programmatūras atjaunināšanas tiešraides rīku. Ļaunprātīgā datne bija parakstīta ar pareiziem Asus ciparsertifikātiem, lai tā izskatītos pēc autentiska uzņēmuma programmatūras atjauninājuma.

Drošības kompānijas jaunais pētījums liecina, ka Taivānas daudzus miljardus dolāru vērtais datortehnikas uzņēmums, kas ražo galddatorus, klēpjdatorus, mobilos tālruņus, viedmājokļu sistēmas un citu elektroniku, pagājušajā gadā ir veicis lūkas pašpiegādi klientiem vismaz piecus mēnešus, pirms tas tika pamanīts.

Pētnieki lēš, ka caur Asus atjauninājumu serveri ļaunprātīgo lūku ir saņēmis pusmiljons Windows datoru, lai gan šķiet, ka uzbrucēji ir vēlējušies piekļūt tikai aptuveni sešiem simtiem šo sistēmu. Ļaunprogrammatūra meklēja atlasītas sistēmas, izmantojot to unikālās MAC adreses. Ja, nonākusi sistēmā, ļaunprogrammatūra atrada kādu no šīm atlasītajām adresēm, tā sazinājās ar uzbrucēju izmantoto komandvadības serveri, kas tad šajos datoros instalēja papildu ļaunprogrammatūru.

Kaspersky Lab šo uzbrukumu konstatēja janvārī, kad savam skenēšanas rīkam bija pievienojis jaunu piegādes ķēdē slēptu uzbrukumu noteikšanas tehnoloģiju, lai ķertu anomālus koda fragmentus, kas ir paslēpti pareizā programmā, vai ķertu kodu, kas ielaužas datora parastajās darbībās. Nākammēnes paša rīkotajā Drošības analītiķu samitā Singapūrā uzņēmums plāno nākt klajā ar pilnu tehnisko dokumentu un prezentāciju par Asus uzbrukumu, kas ir iedēvēts par ShadowHammer. Pagaidām Kaspersky Lab dažas tehniskās detaļas ir publicējis savā tīmekļa vietnē.

Šis notikums pievērš uzmanību augošajiem draudiem, ko rada tā dēvētie piegādes ķēdē slēptie uzbrukumi, kad ļaunprātīga programmatūra vai komponenti tiek instalēti sistēmās to ražošanas vai montāžas laikā vai pēc tam, izmantojot pilnvarotu piegādātāju kanālus. Tā kā pēdējos gados ir atklāti vairāki piegādes ķēdē slēpti uzbrukumi, pagājušajā gadā ASV izveidoja piegādes ķēdes darba grupu, lai izpētītu šo problēmu. Kaut gan attiecībā uz piegādes ķēdē slēptiem uzbrukumiem uzmanība galvenokārt tiek pievērsta varbūtējai ļaunprātīgu implantu pievienošanai aparatūrai vai programmatūrai ražošanas laikā, piegādātāju programmatūras atjauninājumi ir ideāls veids, kā uzbrucēji var nogādāt ļaunprogrammatūru sistēmās pēc tam, kad tās ir pārdotas, jo klienti uzticas piegādātāju atjauninājumiem, it sevišķi, ja tie ir parakstīti ar pareizu piegādātāja ciparsertifikātu.

Divi 2017. gadā atklāti uzbrukumi arī iejaucās pilnvarotas programmatūras atjauninājumos. Vienā bija iesaistīts ar nosaukumu CCleaner pazīstamais datordrošības tīrīšanas rīks, kas ar programmatūras atjauninājumu piegādāja klientiem ļaunprogrammatūru. Vairāk nekā divi miljoni klientu saņēma šo ļaunprātīgo atjauninājumu, pirms tas tika atklāts. Otrā incidentā bija iesaistīts bēdīgi slavenais uzbrukums notPetya, kas sākās Ukrainā un inficēja datorus, izmantojot grāmatvedības programmatūras pakotnes ļaunprātīgu atjauninājumu.

Kaspersky Lab Starptautiskās pētniecības un analīzes grupas direktors Kostins Raju sacīja, ka uzbrukums Asus atšķiras no citiem. «Es teiktu, ka šis uzbrukums izceļas iepriekšējo vidū, lai gan ir par pakāpi sarežģītāks un slepenāks. Viens no iemesliem, kāpēc tas tik ilgi netika pamanīts, ir upuru ķirurģiskā filtrēšana pēc MAC adresēm. Ja neesat mērķis, ļaunprogrammatūra ir gandrīz pasīva,» viņš pastāstīja Motherboard. Taču pat pasīva ļaunprogrammatūra uzbrukumam neatlasītās sistēmās joprojām nodrošināja uzbrucējiem lūku katrā inficētajā Asus sistēmā.

Kaspersky Lab pētnieki pirmo reizi pamanīja šo ļaunprogrammatūru klienta datorā 29. janvārī. Kad viņi izveidoja parakstu, lai atrastu ļaunprātīgo atjauninājuma datni citās klientu sistēmās, viņi konstatēja, ka ar to ir inficēti vairāk nekā 57 tūkstoši klientu. Vitālijs Kamļuks sacīja, ka patiesais daudzums, visticamāk, ir mērāms simtos tūkstošu. Kaspersky Lab pētnieki no klientu datoriem ievāca vairāk nekā 200 ļaunprātīgo datņu paraugu. Tādā veidā viņi noskaidroja, ka tas bija daudzpakāpju un mērķtiecīgs uzbrukums.

Kaspersky Lab pētnieki spēja uzlauzt lielāko daļu atrasto jaucējkodu, lai noteiktu MAC adreses. Tas viņiem palīdzēja noskaidrot, kādas tīkla kartes upuri ir uzstādījuši savos datoros, bet ne pašus upurus. Katru reizi, kad ļaunprogrammatūra inficēja datoru, tā no šī datora tīkla kartes ievāca MAC adresi, sajauca to un salīdzināja šo jaucējkodu ar ļaunprogrammatūrā stingri iekodētajiem jaucējkodiem. Ja tika atrasta atbilstība kādai no 600 atlasītajām adresēm, ļaunprogrammatūra sazinājās ar vietni asushotfix.com, kas bija nomaskēta par īstu Asus vietni, lai saņemtu otrā posma lūku, ko lejupielādēja šajā sistēmā. Tas, ka tikai nedaudzi datori sazinājās ar komandvadības serveri, palīdzēja paturēt ļaunprogrammatūru redzeslokā.

«Viņi necentās uzbrukt pēc iespējas vairāk lietotāju,» sacīja Kamļuks. «Viņi gribēja piekļūt ļoti noteiktiem upuriem un jau iepriekš zināja to tīkla kartes MAC adresi, kas ir diezgan interesanti.»

Par Kaspersky Lab

Kaspersky Lab ir starptautisks uzņēmums, kas jau 21 gadu strādā informācijas drošības jomā. Dziļas speciālās zināšanas un uzņēmuma divdesmit gadu pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, izšķirīgi svarīgas infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky Lab plašais piedāvājumu klāsts ietver progresīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky Lab tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.

Papildu informācija

www.kaspersky.com

Papildu informācija par risinājumiem Latvijā ir pieejama izplatītāja vietnē www.antivirus.lv

Kaspersky Lab
Par šo rakstu nav saņemts neviens komentārs.
Pievienot komentāru
Vārds:
e-pasts:



Arhīvs

novembris 2019
P O T C P S Sv
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 1617
18192021222324
252627282930

Aktuālās ziņas

mēbeļu izgatavošana
apdrošināšana  octa  granulu katli