Мы уже неоднократно сетовали на то, что программное обеспечение производителей материнских плат оставляет желать лучшего в вопросах безопасности. Что подтверждают сообщения о найденных уязвимостях в утилитах ASUS и Gigabyte.
По всей видимости, у ASUS имеются и другие бреши, которые могут привести к более печальным последствиям. Злоумышленники обнаружили уязвимости в серверах обновления ASUS, что позволило им воспользоваться утилитой Live Software Update Tool для доставки вредоносного кода. При этом вредонос подписывался корректным сертификатом, и у клиента не возникало сомнений в подлинности программы.
Уязвимость была обнаружена Kaspersky Lab. Она получила название ShadowHammer - в следующем месяце представители компании расскажут о ней на мероприятии Security Analyst Summit в Сингапуре. Подробности приведены на сайте Kaspersky. Похоже, что уязвимость была обнаружена в январе. По крайней мере, ASUS была проинформирована 31 января. Какое время злоумышленникам удавалось доставлять вредоносные обновления - неизвестно. Но уязвимость существовала многие месяцы. Symantec тоже подтвердила ее существование и рассылку вредоносов.
Заражены оказались примерно 57.000 систем клиентов Kaspersky в дополнение к 13.000 систем клиентов Symantec. Как прогнозирует Kaspersky, всего в мире насчитывается порядка 500.000 зараженных систем.
Скорее всего, атаки носили целевой характер. Утилита собирала MAC-адрес, после чего передавала его на сервер управления. Затем устанавливалось дополнительное вредоносное программное обеспечение. Наибольшая часть зараженных систем располагается в России, Германии и Франции.
Вероятно, между Kaspersky и ASUS возникли какие-то трудности с коммуникацией, поскольку до сих пор не понятно, как ASUS отреагировала на существование уязвимостей и зараженных систем. Остается неизвестным, какие именно версии утилит ASUS были уязвимыми и подверглись атаке.
Обновление:
ASUS отреагировала на существование проблемы. Компания предоставила ссылку на программу, которая позволяет проверить систему на наличие вредоносной утилиты. Ее можно скачать напрямую на сайте ASUS. Конечно, можно связаться напрямую со службой поддержки.
"ASUS Live Update - фирменная утилита, которая поставляется вместе с ноутбуками ASUS. Она гарантирует, что драйверы ASUS и прошивка будут всегда актуальными. Небольшое число устройств стало жертвой сложной атаки на серверы Live Update, злоумышленники рассылали вредоносный код очень небольшой группе пользователей, отобранной по определенным критериям. Служба поддержки ASUS уже связалась с этими пользователями и помогла устранить уязвимости.
В последней версии (3.6.8) утилиты Live Update Tool ASUS внесла исправления данной уязвимости и добавила несколько механизмов защиты, чтобы предотвратить любые возможные манипуляции и подмены обновлений в будущем. Кроме того, ASUS добавила шифрование end-to-end и усилила программную архитектуру server-to-end, чтобы подобных атак не было в будущем."
Также ASUS ответила на ряд важных вопросов:
Как я узнаю, подтверждено ли мое устройство уязвимости или нет?
Злоумышленники атаковали небольшую группу пользователей по определенным критериям, поэтому ваше устройство вряд ли было атаковано. Если опасения все же есть, то воспользуйтесь ASUS Security Diagnostics Tool или свяжитесь со службой поддержки ASUS.
Что я должен сделать, если мое устройство было атаковано?
Сделайте резервную копию ваших файлов и восстановите операционную систему до заводского состояния. Данный шаг полностью избавит систему от вредоносного кода. Чтобы обезопасить свои данные, ASUS рекомендует регулярно менять пароли.
Как можно убедиться, что у меня установлена последняя версия ASUS Live Update?
Проверить, установлена ли у вас последняя версия ASUS Live Update, можно по следующей ссылке: https://www.asus.com/support/FAQ/1018727/
Подвержены ли другие устройства ASUS данной атаке?
Нет, она коснулась только Live Update на ноутбуках. Другие устройства не атаке подвержены.