Eerder deze week werd bekend dat aanvallers vorig jaar bij de Taiwanese computerfabrikant ASUS hebben ingebroken om via de officiële ASUS-updatetool en ASUS-servers besmette updates onder tienduizenden, mogelijk zelfs honderdduizenden, klanten te verspreiden.
De besmette updates installeerden een backdoor, die in een beperkt aantal gevallen aanvullende malware installeerde. Deze tweede fase van de aanval werd alleen bij zo'n 600 specifieke MAC-adressen uitgevoerd. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. De aanvallers maakten gebruik van een hardcoded lijst met MAC-adressen, wat inhoudt dat ze de MAC-adressen van hun doelwitten kenden.
In totaal identificeerde antivirusbedrijf Kaspersky Lab iets meer dan 600 unieke MAC-adressen waar de aanvallers het op hadden voorzien. De virusbestrijder ontwikkelde een tool die ASUS-gebruikers op hun systeem kunnen draaien. De tool kijkt naar het MAC-adres van de gebruiker en vergelijkt dat met de lijst van 600 aangevallen MAC-adressen.
De lijst zelf is niet openbaar gemaakt. Onderzoekers van securitybedrijf Skylight besloten de tool van Kaspersky Lab te reverse engineeren. Daaruit bleek dat de tool van gesalte hashes gebruikmaakte. Nadat de onderzoekers het exacte hashingalgoritme hadden ontdekt besloten ze via brute force de lijst met gehashte MAC-adressen te achterhalen. Hiervoor werd er uiteindelijk een beroep gedaan op de rekenkracht van Amazon.
Het gebruikte Amazon-cloudsysteem beschikte over acht Nvidia V100 Tesla-videokaarten met 16GB geheugen. De onderzoekers besloten niet alle mogelijke MAC-adressen te proberen, maar gebruikten een verzameling met 1300 prefixes. De prefixes zijn gebaseerd op de fabrikanten wiens MAC-adressen het doelwit waren. Binnen een uur hadden de onderzoekers 583 van de 619 MAC-adressen achterhaald. Waarschijnlijk zijn de niet achterhaalde MAC-adressen van andere netwerkfabrikanten. De volledige lijst met MAC-adressen is via deze pagina te downloaden.
Een dag na het nieuws over de aanval kwam ASUS met een reactie. De computerfabrikant liet weten dat het een update voor de ASUS Live Update-tool had uitgebracht die verschillende beveiligingsverbeteringen bevatte. Verdere details werden niet gegeven. Daardoor is het totale aantal systemen dat de besmette updates ontving nog altijd onbekend. Ook is onduidelijk hoe de aanvallers bij ASUS binnen wisten te dringen en hoe lang ze controle over de systemen van de computerfabrikant hadden.
Deze posting is gelocked. Reageren is niet meer mogelijk.