ASUS heeft klanten gewaarschuwd die het doelwit van de gisteren onthulde aanval via de Live Update-tool waren. Ook heeft de updatesoftware zelf een update ontvangen om toekomstige aanvallen te voorkomen. De Taiwanese computerfabrikant bevestigt in een vandaag verschenen reactie dat aanvallers vorig jaar toegang tot de Live Update-servers hebben gekregen en zo besmette updates onder gebruikers konden verspreiden.
Live Update is een programma dat op de meeste ASUS-computers geïnstalleerd staat. Het helpt gebruikers om hun drivers, firmware en ASUS-software up-to-date te houden. Aanvallers wisten toegang tot de certificaten van ASUS te krijgen en gebruikten die om kwaadaardige updates te signeren. Deze updates werden vervolgens via de servers van de computerfabrikant onder gebruikers verspreid. Een zogeheten "supply chain" aanval.
Volgens ASUS is "een klein aantal" computers via de aanval besmet geraakt, maar een exact aantal wordt niet genoemd. Symantec liet gisteren weten dat zeker 13.000 klanten de besmette ASUS-update hadden ontvangen. Bij Kaspersky Lab ging het om 57.000 bevestigde gebruikers. De virusbestrijder vermoedt dat wereldwijd mogelijk 1 miljoen ASUS-systemen besmet zijn geraakt, maar het exacte aantal is nog altijd onduidelijk.
Zodra een systeem via de kwaadaardige update besmet was geraakt keken de aanvallers naar het MAC-adres van de netwerkkaart. Ze hadden het voorzien op 600 specifieke MAC-adressen. Zodra de geïnstalleerde backdoor één van deze MAC-adressen tegenkwam werd er aanvullende malware gedownload. Het is nog altijd onbekend wat deze malware precies deed. Eén van de MAC-adressen waar de aanvallers het op hadden voorzien was van een Huawei E3772 USB 4G-dongel.
Volgens onderzoeker Vitaly Kamluk van Kaspersky Lab lijkt het MAC-adres voor alle eigenaren van een dergelijke dongel hetzelfde te zijn. De aanvallers bleken in sommige gevallen twee MAC-adressen te gebruiken om een slachtoffer te identificeren. Kaspersky Lab heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Ook ASUS heeft een diagnostische tool online gezet.
Tevens heeft de computerfabrikant maatregelen genomen om herhaling te voorkomen. Live Update versie 3.6.8 introduceert verschillende beveiligingsmaatregelen om aanvallen via kwaadaardige updates te detecteren en is er end-to-end-encryptie toegevoegd. Tevens is de "server-to-end-user" softwarearchitectuur versterkt. ASUS-klanten van wie het systeem geinfecteerd is krijgen het advies om hun systeem opnieuw te installeren.
ASUS lijkt in de vandaag gepubliceerde reactie onderscheid te maken tussen gebruikers die de besmette updates ontvingen en de 600 MAC-adressen die het daadwerkelijke doel waren. Volgens Kaspersky Lab en Symantec hebben in totaal 70.000 van hun klanten de besmette update geïnstalleerd. Andere antivirusbedrijven hebben nog geen cijfers naar buiten gebracht, maar onderzoekers schatten dat het om 500.000 tot 1 miljoen machines gaat.
Onderzoeker Kamluk liet gisteren weten dat de aanvallers in november hun aanval via de ASUS-updatesoftware stopten en vervolgens naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.