IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Operace ShadowHammer

ASUS Live Update Utility

Byl odhalen útok na dodavatelský řetězec pomocí backdoor injekce nazvaný „Operace ShadowHammer“, zaměřený na uživatele ASUS Live Update Utility. Podezřelý je státem sponzorovaný čínský BARIUM APT.

Kampaň proběhla od června do přinejmenším listopadu 2018 a mohla mít dopad na více než milion uživatelů po celém světě – i když se zdá, že cílem byli konkrétní oběti v Asii.

Nástroj ASUS Live Update je předinstalovaný ve většině nových počítačů ASUS, pro automatické aktualizace systému BIOS, UEFI, ovladačů a aplikací. Společnost ASUS, která je oblíbená mezi hráči, zaujímá páté místo na trhu notebooků, přičemž podíl na trhu je podle TrendForce ze srpna 2018 7,4 procenta. S odhadovanými 41,08 miliony notebooků, které byly dodány v tomto čtvrtletí, to znamená, že ASUS prodal za toto období přibližně 3 miliony.

Útočníci použili ukradené digitální certifikáty ASUS používané k podpisu legitimních binárních souborů, a změnili starší verze softwaru ASUS, aby mohli aplikovat svůj vlastní škodlivý kód. Trójské verze nástroje byly poté podepsány legitimními certifikáty a byly hostovány a distribuovány z oficiálních aktualizačních serverů ASUS.

I když to znamená, že se potenciálně každý uživatel postiženého softwaru mohl stát obětí, odborníci uvedli, že se útočníci zajímali o specifickou podmnožinu uživatelů. V kódu bylo nalezeno asi 600 MAC adres; pokud stroj oběti nesouhlasil s jednou ze zadaných MAC adres, malware se stal nečinným.

Zdroj: threatpost.com