MAC-adressen die doelwit van ASUS-aanval waren openbaar
Eerder deze week werd bekend dat aanvallers vorig jaar bij de Taiwanese computerfabrikant ASUS hebben ingebroken om via de officiële ASUS-updatetool en ASUS-servers besmette updates onder tienduizenden, mogelijk zelfs honderdduizenden, klanten te verspreiden.
De besmette updates installeerden een backdoor, die in een beperkt aantal gevallen aanvullende malware installeerde. Deze tweede fase van de aanval werd alleen bij zo'n 600 specifieke MAC-adressen uitgevoerd. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. De aanvallers maakten gebruik van een hardcoded lijst met MAC-adressen, wat inhoudt dat ze de MAC-adressen van hun doelwitten kenden.
In totaal identificeerde antivirusbedrijf Kaspersky Lab iets meer dan 600 unieke MAC-adressen waar de aanvallers het op hadden voorzien. De virusbestrijder ontwikkelde een tool die ASUS-gebruikers op hun systeem kunnen draaien. De tool kijkt naar het MAC-adres van de gebruiker en vergelijkt dat met de lijst van 600 aangevallen MAC-adressen.
De lijst zelf is niet openbaar gemaakt. Onderzoekers van securitybedrijf Skylight besloten de tool van Kaspersky Lab te reverse engineeren. Daaruit bleek dat de tool van gesalte hashes gebruikmaakte. Nadat de onderzoekers het exacte hashingalgoritme hadden ontdekt besloten ze via brute force de lijst met gehashte MAC-adressen te achterhalen. Hiervoor werd er uiteindelijk een beroep gedaan op de rekenkracht van Amazon.
Het gebruikte Amazon-cloudsysteem beschikte over acht Nvidia V100 Tesla-videokaarten met 16GB geheugen. De onderzoekers besloten niet alle mogelijke MAC-adressen te proberen, maar gebruikten een verzameling met 1300 prefixes. De prefixes zijn gebaseerd op de fabrikanten wiens MAC-adressen het doelwit waren. Binnen een uur hadden de onderzoekers 583 van de 619 MAC-adressen achterhaald. Waarschijnlijk zijn de niet achterhaalde MAC-adressen van andere netwerkfabrikanten. De volledige lijst met MAC-adressen is via deze pagina te downloaden.
ASUS
Een dag na het nieuws over de aanval kwam ASUS met een reactie. De computerfabrikant liet weten dat het een update voor de ASUS Live Update-tool had uitgebracht die verschillende beveiligingsverbeteringen bevatte. Verdere details werden niet gegeven. Daardoor is het totale aantal systemen dat de besmette updates ontving nog altijd onbekend. Ook is onduidelijk hoe de aanvallers bij ASUS binnen wisten te dringen en hoe lang ze controle over de systemen van de computerfabrikant hadden.
Volgens mij is dit een aanname.
'''Ook is onduidelijk hoe de aanvallers bij ASUS binnen wisten te dringen en hoe lang ze controle over de systemen van de computerfabrikant hadden.'''
Deze zin sluit uit dat het een "inside job" geweest kan zijn, wat best wel aannemelijk is omdat dat de update software tot 2x toe is signed met een certificate van ASUS zelf.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.