Hekerji se v lovu za podatki poslužujejo marsikakšnih metod. Tokrat je bila odkrita zlonamerna koda v posodobitvah za računalnike tajvanskega giganta Asus.
Napad na Asusove strežnike
Zlonamerno kodo je odkrilo podjetje Kaspersky Lab, ki skrbi za razvoj znane istoimenske antivirusne programske opreme. Kot so zapisali v objavi na svoji spletni strani, se je zlonamerna koda prenašala preko programa Asus Live Update Utility, ki je prednameščen na večini Asusovih računalnikov z operacijskim sistemom Windows in skrbi za posodobitve gonilnikov, BIOS in ostale programske opreme.
Do tega je prišlo zaradi napada na Asusove strežnike, ki skrbijo za razpečevanje posodobitev. Na strežnike so nato napadalci postavili svojo programsko opremo.
Škodljive datoteke so bile podpisane s pristnimi certifikati, zaradi česar jih je bilo bistveno težje odkriti. Vir: Securelist
Datoteke z zlonamerno kodo so bile za antivirusne programe nevidne, saj so bile podpisane z Asusovimi digitalnimi certifikati. Kaspersky je do odkritja prišel po naključju, med testiranjem programske opreme, ki išče zlonamerno kodo v navidez neškodljivih datotekah. Skupno število okuženih računalnikov naj bi bilo več kot milijon.
Tarča 600 računalnikov
Pri vsem skupaj je najbolj zanimivo to, da je bila zlonamerna koda namenjena specifično 600 računalnikom, saj je vsebovala 600 unikatnih MAC naslovov. Ko se je znašla na pravem računalniku, je sprožila ukaz za prenos in namestitev dodatne zlonamerne kode.
Napad so raziskovalci iz Kasperskyja poimenovali ShadowHammer, po svoji naravi pa se precej razlikuje od ostalih napadov, ki so se izvajali s posodobitvami programske opreme. Flame Spy Tool je računalnike pretental z neavtoriziranimi Microsoftovimi certifikati, s pomočjo katerih je preko orodja Windows Update nameščal škodljivo programsko opremo, CCleaner pa je imel podobno situacijo s posodobitvijo programa, ki je vsebovala škodljivo kodo.
V nobenem od teh primerov pa ni bil napad izveden na takšnem nivoju, da bi bili kompromitirani sami strežniki proizvajalca računalnikov. Poleg tega je škodljiva programska oprema ponavadi namenjena širitvi na čim večje število računalnikov, kar pa ne drži za ShadowHammer, saj je praktično neopazna, če niste na seznamu ciljnih naprav.
Asus situacije ni še komentiral, ravno tako niso opozorili uporabnikov na možnost okužbe, čeprav jih je Kaspersky o napadu obvestil 31. januarja letos. Asusove naprave so bile tarča že v zgoraj omenjenem napadu preko CCleanerja, več podatkov pa bo Kaspersky razkril na srečanju Security Analyst Summit v Singapurju.
Uvodna fotografija: Pixabay
