Nowa kampania APT została wykryta w styczniu tego roku przez Kaspersky Lab. Szacuje się, że okres jej trwania wynosił od czerwca do listopada 2018 roku. Kampania ta mogła wpłynąć na ponad milion użytkowników, którzy pobrali ASUS Live Update Utility na swoich komputerach.

Zespół Kaspersky Lab ds. Globalnych Badań i Analiz (GReAT) nazwał tę złośliwą kampanię Operacją ShadowHammer. Jak początkowo donosi, miała ona doprowadzić do pobrania i zainstalowania backdoor’a przez ponad 57 000 użytkowników Kaspersky. Na chwilę obecną szacuje się, że liczba zainfekowanych maszyn przekroczyła milion.

ASUS Live Update to narzędzie, które jest fabrycznie zainstalowane na większości komputerów ASUS i służy do automatycznej aktualizacji niektórych składników, takich jak BIOS, UEFI, sterowniki i aplikacje.

Potwierdzone zostało istnienie kilku wersji plików binarnych “ASUS Live Update” zawierających złośliwe oprogramowanie. Każdy z wariantów obierał za cel nieznaną grupę użytkowników, których rozpoznawał po adresach MAC kart sieciowych. Firmie Kaspersky udało się uzyskać listę 600 adresów MAC, które były zaszyte w 200 próbkach użytych w ataku. Jeśli adres MAC znajdował się na liście, pobierany i wykonywany był następny etap infekcji.

Badacze z firmy Kaspersky odkryli również iż instalator ASUS Live Update, który zawiera złośliwy kod, był podpisany oryginalnym certyfikatem firmy “ASUSTeK Computer Inc.”, który był trzymany na oficjalnym serwerze aktualizacji ASUS.

ASUS jest piątym co do wielkości dostawcą komputerów PC na świecie pod względem sprzedaży w 2017 roku. To sprawia, że ​​jest niezwykle atrakcyjnym celem dla grup APT, które chcą skorzystać z ich bazy użytkowników.

Więcej informacji:

https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/

EDIT 28.03.2019:

By zapobiec wszelkim szkodliwym manipulacjom zespół ASUS wprowadził poprawkę najnowszej wersji oprogramowania Live Update oraz wdrożył ulepszony mechanizm szyfrowania.

Ponadto ASUS stworzył także narzędzie do diagnostyki zabezpieczeń dostępne pod tym linkiem: https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip