Máy chủ cập nhật phần mềm ASUS bị hack để phân phối Malware

Máy chủ cập nhật phần mềm ASUS bị hack để phân phối Malware

March 26, 2019 | vietsunshine

Bạn có nhớ vụ việc CCleaner bị hack? CCleaner hack là một trong những cuộc tấn công chuỗi cung ứng lớn nhất đã lây nhiễm hơn 2,3 triệu người dùng với phiên bản phần mềm backdoor vào tháng 9 năm 2017.

Các nhà nghiên cứu bảo mật hôm nay đã tiết lộ một cuộc tấn công chuỗi cung ứng lớn khác đã làm tổn hại hơn 1 triệu máy tính được sản xuất bởi người khổng lồ công nghệ ASUS có trụ sở tại Đài Loan.

Một nhóm tin tặc được nhà nước bảo trợ vào năm ngoái đã tìm cách chiếm quyền điều khiển máy chủ cập nhật phần mềm tự động ASUS Live trong khoảng thời gian từ tháng 6 đến tháng 11 năm 2018 và đẩy các bản cập nhật độc hại để cài đặt backdoor trên hơn một triệu máy tính Windows trên toàn thế giới.

Theo các nhà nghiên cứu an ninh mạng từ công ty Kaspersky Lab của Nga, người đã phát hiện ra vụ tấn công và được đặt tên là Operation ShadowHammer, Asus đã được thông báo về cuộc tấn công chuỗi cung ứng đang diễn ra vào ngày 31 tháng 1 năm 2019.

Sau khi phân tích hơn 200 mẫu cập nhật độc hại, các nhà nghiên cứu biết rằng tin tặc không muốn nhắm mục tiêu tất cả người dùng, thay vào đó chỉ có một danh sách người dùng được xác định bởi các địa chỉ MAC của họ, được mã hóa cứng vào phần mềm độc hại.

“Chúng tôi đã có thể trích xuất hơn 600 địa chỉ MAC từ hơn 200 mẫu được sử dụng trong cuộc tấn công này. Tất nhiên, có thể có các mẫu khác ngoài đó với các địa chỉ MAC khác nhau trong danh sách của họ”, các nhà nghiên cứu cho biết.

Giống như các bản hack CCleaner và ShadowPad, tệp độc hại đã được ký với các chứng chỉ kỹ thuật số hợp pháp của ASUS để làm cho nó trông như một bản cập nhật phần mềm chính thức từ công ty và không bị phát hiện trong một thời gian dài.

Các nhà nghiên cứu đã không quy kết cuộc tấn công vào bất kỳ nhóm APT nào tại thời điểm này, nhưng một số bằng chứng nhất định liên quan đến vụ tấn công mới nhất với sự cố ShadowPad từ năm 2017, mà Microsoft quy cho API của BARIUM đằng sau Winnti backdoor.

“Gần đây, các đồng nghiệp của chúng tôi từ ESET đã viết về một cuộc tấn công chuỗi cung ứng khác trong đó BARIUM cũng tham gia, mà chúng tôi tin rằng cũng có liên quan đến trường hợp này”, các nhà nghiên cứu nói.

Theo Kaspersky, phiên bản backdoored của ASUS Live Update đã được tải xuống và cài đặt bởi ít nhất 57.000 người dùng Kaspersky.

“Chúng tôi [các nhà nghiên cứu] không thể tính toán tổng số người dùng bị ảnh hưởng chỉ dựa trên dữ liệu của chúng tôi; tuy nhiên, chúng tôi ước tính rằng quy mô thực sự của vấn đề lớn hơn nhiều và có thể ảnh hưởng đến hơn một triệu người dùng trên toàn thế giới”, Kaspersky nói.

Symantec nói với Vice rằng công ty đã xác định phần mềm độc hại trên hơn 13.000 máy chạy phần mềm chống vi-rút.

Hầu hết các nạn nhân mà Kaspersky phát hiện là từ Nga, Đức, Pháp, Ý và Hoa Kỳ, mặc dù người dùng đã nhiễm phần mềm độc hại từ khắp nơi trên thế giới.

Kaspersky đã thông báo cho ASUS và các công ty chống vi-rút khác về cuộc tấn công trong khi cuộc điều tra về vấn đề này vẫn đang tiếp diễn.

Nguồn: Warning: ASUS Software Update Server Hacked to Distribute Malware

Xem thêm: [ISTR] Tấn công chuỗi cung ứng tăng gần gấp đôi trong năm 2018

Tags: , ,