image

ASUS Live Update gebruikt om backdoor te verspreiden

maandag 25 maart 2019, 14:30 door Redactie, 9 reacties
Laatst bijgewerkt: 26-03-2019, 09:14

Aanvallers hebben de updatetool van de Taiwanese computerfabrikant ASUS, die standaard op de meeste ASUS-systemen geïnstalleerd staat, gebruikt om computers met een backdoor te infecteren. Via ASUS Live Update kunnen gebruikers de firmware, drivers en software van hun computer eenvoudig bijwerken.

Van juni tot en met november vorig jaar zijn aanvallers erin geslaagd om via Live Update kwaadaardige updates te verspreiden die een backdoor bleken te bevatten. De besmette updates waren van een geldig certificaat voorzien en werden gehost op de updateservers van ASUS. Onderzoekers van anti-virusbedrijf Kaspersky Lab vermoeden dat mogelijk meer dan een miljoen gebruikers wereldwijd zijn getroffen.

Wat de virusbestrijder wel zeker weet is dat de besmette updates van ASUS Live Update door 57.000 gebruikers van de eigen antivirussoftware zijn geïnstalleerd. De meeste infecties werden in Rusland en Duitsland geteld, gevolgd door Frankrijk en Italië. Antivirusbedrijf Symantec verklaart tegenover Vice Magazine dat tenminste 13.000 klanten via een kwaadaardige ASUS-update besmet zijn geraakt.

De aanval was gericht tegen een kleine groep gebruikers die werden geïdentificeerd aan de hand van het MAC-adres van hun netwerkkaart. Hiervoor maakten de aanvallers gebruik van een hardcoded lijst van 600 MAC-adressen. Zodra de backdoor één van deze MAC-adressen tegenkwam werd er van een domein dat op een officiële ASUS-site leek aanvullende malware gedownload. Om wat voor malware het gaat is onbekend. Deze werkwijze laat zien dat de aanvallers de MAC-adressen van hun beoogde slachtoffers al kenden.

De aanvallers maakten gebruik van twee ASUS-certificaten om hun malware te signeren. Volgens onderzoeker Vitaly Kamluk bleef de computerfabrikant één van deze certificaten gebruiken voor het signeren van de eigen software voor tenminste een maand nadat het was ingelicht. Inmiddels is het bedrijf hiermee gestopt, maar de twee certificaten zijn nog altijd niet ingetrokken.

ASUS is op 31 januari over de aanval ingelicht. Kamluk vertelt aan Vice Magazine dat een medewerker van het Kaspersky Lab op 14 februari bij ASUS is langs geweest, maar dat de computerfabrikant nauwelijks reageert en ASUS-klanten nog steeds niet zijn ingelicht. Het anti-virusbedrijf heeft een tool ontwikkeld waarmee gebruikers kunnen controleren of hun computer één van de 600 systemen is waar de aanvallers het op hadden voorzien. Volgende maand zal Kaspersky Lab meer details over de aanval geven.

Update

Onderzoeker Kamluk laat via Twitter weten dat de huidige updates van ASUS niet besmet zijn. De aanvallers zouden in november 2018 met hun activiteiten zijn gestopt en naar andere doelwitten zijn overgestapt. Welke doelwitten dit zijn wordt over twee weken bekendgemaakt.

Image

Reacties (9)
25-03-2019, 16:55 door Anoniem
Dat gaat dus automaties ?
25-03-2019, 17:31 door Eric-Jan H te D
Wat is het nu 600 of 13.000 systemen?
25-03-2019, 18:19 door Anoniem
Kaspersky schat in meer dan een miljoen. Dus geen van beide.
25-03-2019, 18:24 door Anoniem
Schatting Kaspersky meer dan miljoen downloads, waarvan 13000 Symantec klanten.
Van die miljoen zijn er dan weer 600 MAC-adressen die aanvullende malware (gaan) downloaden.
25-03-2019, 19:16 door Anoniem
Gecombineerd met 'ASUS Armoury Crate' maak ik mij hier toch wel zorgen over:
https://nl.hardware.info/nieuws/60633/asus-z390-moederborden-installeren-software-bij-elke-boot
25-03-2019, 20:14 door Anoniem
Kaspersky bevestigt 57.000 besmettingen van klanten met de backdoor
Symantec bevestigt 13.000 besmettingen van klanten met de backdoor
Kaspersky schat meer dan 1 miljoen besmettingen met de backdoor
600 MAC-adressen, die eerst met de backdoor besmet moesten zijn, hebben aanvullende malware gedownload. Wat die malware is, is onbekend.

Staat gewoon in het Redactie artikel.
25-03-2019, 23:37 door Anoniem
Door Anoniem: Gecombineerd met 'ASUS Armoury Crate' maak ik mij hier toch wel zorgen over:
https://nl.hardware.info/nieuws/60633/asus-z390-moederborden-installeren-software-bij-elke-boot
Slik....dat wordt never een ASUS voor mij.
26-03-2019, 08:34 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Gecombineerd met 'ASUS Armoury Crate' maak ik mij hier toch wel zorgen over:
https://nl.hardware.info/nieuws/60633/asus-z390-moederborden-installeren-software-bij-elke-boot
Slik....dat wordt never een ASUS voor mij.

Ik heb een ASUS laptop maar maak mij desondanks geen zorgen. Want er staat Debian Linux op. En de updater software constructie is specifiek voor Windows lees ik in het vollediger Engelstalige artikel.

https://www.techpowerup.com/248827/asus-z390-motherboards-automatically-push-software-into-your-windows-installation

Als je Windows draait op je ASUS computer dan is het volgens het artikel mogelijk om de updater uit te zetten. Mogelijk maar wel lastig :-(
26-03-2019, 11:31 door Anoniem
Kaspersky meldt ook in een persbericht (https://www.kaspersky.com/about/press-releases/2019_operation-shadowhammer-new-supply-chain-attack):

The search for similar malware has revealed software from three other vendors in Asia, all backdoored with very similar methods and techniques. Kaspersky Lab has reported the issue to Asus and other vendors.

Three other vendors ... dus dit is nog maar het topje van de ijsberg
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.