Aanvallers hebben de WebStorage-software van fabrikant ASUS gebruikt om systemen met malware te infecteren, zo hebben onderzoekers van antivirusbedrijf ESET ontdekt. WebStorage is een cloudopslagdienst waar gebruikers hun bestanden kunnen opslaan.

Gebruikers installeren de WebStorage-software op hun computer en kunnen zo met de cloud communiceren. Onderzoekers ontdekten eind april van dit jaar verschillende pogingen om de Plead-backdoor op systemen te installeren. Bij deze pogingen werd er gebruik gemaakt van het updateproces van de WebStorage-software.

Dit zou verschillende scenario's kunnen inhouden, waaronder een "supply chain" aanval waarbij de updateservers van ASUS zouden zijn gebruikt. In maart werd al bekend dat aanvallers ASUS Live Update hadden gebruikt om malware te verspreiden en hierbij de infrastructuur van de Taiwanese computerfabrikant hadden gecompromitteerd.

In het geval van de Plead-backdoor is het scenario van een supply chain-aanval echter een onwaarschijnlijker scenario, omdat er geen aanwijzingen zijn dat de WebStorage-servers ooit malware hebben verspreid. Daarnaast werden er losse malwarebestanden gebruikt, in plaats van de kwaadaardige functionaliteit aan de legitieme software toe te voegen.

De onderzoekers keken daarom naar een andere mogelijkheid, het gebruik van een man-in-the-middle-aanval. Het WebStorage-updateproces vindt namelijk plaats via het onversleutelde http. Tevens blijkt de software de authenticiteit van aangeboden updates niet te controleren. Een aanvaller die tussen de gebruiker en het internet zit kan zo een kwaadaardige update aanbieden die vervolgens automatisch wordt geïnstalleerd.

Een man-in-the-middle-aanval zou mogelijk zijn via medewerking van de internetprovider, of het compromitteren van de router van het slachtoffer. De makers van de Plead-backdoor hebben zich in het verleden vaker met het compromitteren van routers beziggehouden. Onderzoek naar geïnfecteerde organisaties wees uit dat ze allemaal routers van dezelfde fabrikant gebruikten. Daarnaast waren de beheerderspanelen van deze routers vanaf het internet toegankelijk.

Onderzoekers van ESET zagen daarnaast aanvallen waarbij de aanvallers hert updateverzoek van de WebStorage-software onderschepten en aanpasten. Vervolgens werd er vanaf een gecompromitteerd Taiwanees overheidsdomein malware gedownload. De naam van de routerfabrikant is niet door ESET bekendgemaakt. Wel stelt de virusbestrijder dat softwareontwikkelaars maatregelen moeten nemen om hun updatemechanisme tegen man-in-the-middle-aanvallen te beschermen.