image

MAC-adres doelwitten ASUS-aanval mogelijk verzameld via wifi

maandag 1 april 2019, 10:38 door Redactie, 6 reacties

De aanvallers achter de aanval met besmette ASUS-updates hebben het MAC-adres van hun doelwitten mogelijk via wifi-netwerken verzameld. Dat stelt het Finse anti-virusbedrijf F-Secure in een analyse. Veel details over de aanval zijn nog altijd onbekend en ook ASUS heeft nauwelijks informatie gegeven.

Wel is nu duidelijk dat een zeer kleine groep slachtoffers het doelwit van de allereerste aanval was. Bij de aanval hadden aanvallers controle over de updateservers van ASUS en de certificaten die de Taiwanese computerfabrikant gebruikt voor het signeren van de eigen software. De aanvallers gebruikten de certificaten voor het signeren van besmette updates die via de officiële ASUS-updateservers en Live Update-tool werden verspreid onder gebruikers. De update bevatte een backdoor die geprogrammeerd was om aanvullende malware te downloaden. Deze malware werd alleen gedownload op computers met een specifiek MAC-adres, het adres dat fabrikanten aan netwerkadapters toekennen.

Wanneer de systemen van ASUS werden overgenomen is nog onduidelijk. Wel stellen onderzoekers dat de besmette updates vanaf juni tot en met november vorig jaar via de Live Update-tool zijn verspreid. Bij de eerste aanval in juni hadden de aanvallers het op slechts achttien apparaten voorzien, aldus F-Secure. In totaal werden meer dan tweehonderd besmette updates onder ASUS-gebruikers uitgerold en bij elke update nam het aantal apparaten toe waar de aanvallers het op hadden voorzien.

Zo was de lijst van MAC-adressen die met aanvullende malware werd geïnfecteerd eind juli al de tweehonderd gepasseerd. Dit groeide naar bijna 300 in augustus. In totaal werden er iets meer dan 600 verschillende MAC-adressen op de lijst geplaatst waar de backdoor gebruik van maakte. Dit geeft aan dat de aanvallers de MAC-adressen van hun slachtoffers kenden. Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen.

Dat zou goed mogelijk zijn, want volgens ASUS hebben alleen laptops de besmette updates ontvangen. Daarnaast zou een "zeer kleine en specifieke gebruikersgroep" het uiteindelijke doelwit zijn geweest, aldus de fabrikant. Mogelijk zijn wereldwijd tussen de 500.000 en 1 miljoen apparaten via de kwaadaardige updates besmet geraakt. Daarvan hebben 600 MAC-adressen de aanvullende malware gedownload, maar wat deze malware precies is en doet is nog altijd onbekend. De lijst van aangevallen MAC-adressen is inmiddels openbaar.

Reacties (6)
01-04-2019, 11:26 door Anoniem
Ik heb thuis nog de doos van een oude macbook, en daarop staan gewoon de ethernet en bluetooth adressen afgedrukt met ook nog een handige streepjes code erboven. Hoeft de TLA dus alleen nog de buitenste 'lelijke' doos open te maken als die naar een interessant adres verstuurd wordt. Lekker snel en efficiënt.

De uiteindelijke infectie gaat dan via de voorgeïnstalleerde update software van Asus (handig, want dan heeft die laptop meteen de laatste versie van de APT malware).

Bij mijn oude fritz!box staat ook het mac adres met streepjescode op de doos. Op mijn recente ASUS AM4 moederbord doos weer niet.

Nu ze ontdekt zijn, zullen ze het wel weer op de oude manier doen bij het distributie punt. (Uitpakken, hacken en weer inpakken en opsturen).
01-04-2019, 12:15 door Anoniem
Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen
Dat veronderstelt dan wel dat de aanvallers bezig zijn geweest met een war-drive om deze MAC-adressen te verzamelen.
Tijd dus om niet alleen je IP-adres, maar ook je MAC-adres te spoofen.
01-04-2019, 13:27 door Anoniem
Door Anoniem:
Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen
Dat veronderstelt dan wel dat de aanvallers bezig zijn geweest met een war-drive om deze MAC-adressen te verzamelen.
Tijd dus om niet alleen je IP-adres, maar ook je MAC-adres te spoofen.

Veel mobieltjes doen dit al.
01-04-2019, 13:36 door Anoniem
Door Anoniem:
Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen
Dat veronderstelt dan wel dat de aanvallers bezig zijn geweest met een war-drive om deze MAC-adressen te verzamelen.
Tijd dus om niet alleen je IP-adres, maar ook je MAC-adres te spoofen.
Of bij verschillende conferenties/bijeenkomsten/handelsmissies langsgegaan....
02-04-2019, 09:27 door Anoniem
Eerst werd toch gezegd dat de macadressen direct aangesloten waren op het internet?
02-04-2019, 14:15 door Anoniem
Door Anoniem:
Onderzoekers van F-Secure denken dat de aanvallers deze MAC-adressen via wifi-netwerken hebben verkregen
Dat veronderstelt dan wel dat de aanvallers bezig zijn geweest met een war-drive om deze MAC-adressen te verzamelen.
Tijd dus om niet alleen je IP-adres, maar ook je MAC-adres te spoofen.
Dit biedt geen garantie dat je niet kan worden herkend.
https://www.security.nl/posting/477013/Wifi-gebruikers+met+willekeurig+mac-adres+toch+te+identificeren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.