De aanvallers achter de aanval met besmette ASUS-updates hebben het MAC-adres van hun doelwitten mogelijk via wifi-netwerken verzameld. Dat stelt het Finse anti-virusbedrijf F-Secure in een analyse. Veel details over de aanval zijn nog altijd onbekend en ook ASUS heeft nauwelijks informatie gegeven.
Wel is nu duidelijk dat een zeer kleine groep slachtoffers het doelwit van de allereerste aanval was. Bij de aanval hadden aanvallers controle over de updateservers van ASUS en de certificaten die de Taiwanese computerfabrikant gebruikt voor het signeren van de eigen software. De aanvallers gebruikten de certificaten voor het signeren van besmette updates die via de officiële ASUS-updateservers en Live Update-tool werden verspreid onder gebruikers. De update bevatte een backdoor die geprogrammeerd was om aanvullende malware te downloaden. Deze malware werd alleen gedownload op computers met een specifiek MAC-adres, het adres dat fabrikanten aan netwerkadapters toekennen.
Wanneer de systemen van ASUS werden overgenomen is nog onduidelijk. Wel stellen onderzoekers dat de besmette updates vanaf juni tot en met november vorig jaar via de Live Update-tool zijn verspreid. Bij de eerste aanval in juni hadden de aanvallers het op slechts achttien apparaten voorzien, aldus F-Secure. In totaal werden meer dan tweehonderd besmette updates onder ASUS-gebruikers uitgerold en bij elke update nam het aantal apparaten toe waar de aanvallers het op hadden voorzien.
Zo was de lijst van MAC-adressen die met aanvullende malware werd geïnfecteerd eind juli al de tweehonderd gepasseerd. Dit groeide naar bijna 300 in augustus. In totaal werden er iets meer dan 600 verschillende MAC-adressen op de lijst geplaatst waar de backdoor gebruik van maakte. Dit geeft aan dat de aanvallers de MAC-adressen van hun slachtoffers kenden. Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen.
Dat zou goed mogelijk zijn, want volgens ASUS hebben alleen laptops de besmette updates ontvangen. Daarnaast zou een "zeer kleine en specifieke gebruikersgroep" het uiteindelijke doelwit zijn geweest, aldus de fabrikant. Mogelijk zijn wereldwijd tussen de 500.000 en 1 miljoen apparaten via de kwaadaardige updates besmet geraakt. Daarvan hebben 600 MAC-adressen de aanvullende malware gedownload, maar wat deze malware precies is en doet is nog altijd onbekend. De lijst van aangevallen MAC-adressen is inmiddels openbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.