Hakkerit iskivät Asus Live Update -palveluun ja jakoivat haittaohjelmalla saastutettua versiota

[Kaotik]

Vihamieliset hakkerit ovat löytäneet tiensä Asuksen Live Update -palvelimille ja saaneet saastutettua lukemattomien käyttäjien tietokoneet. Motherboardin mukaan uhreja pelätään olevan satoja tuhansia ja Kaspersky kertoo 57 000 yhtiön tuotteita käyttävän saaneen saastuneen version Asus Live Update Utility -sovelluksesta.

Operation ShadowHammeriksi kutsuttu hyökkäys on tapahtunut viime vuoden kesä- ja marraskuun välillä ja siitä saatiin vihiä kuluvan vuoden tammikuussa. Kasperskyn julkaisemien tietojen mukaan vaikka lukemattomat ihmiset ovat tietämättään ladanneet saastutetun Asus Live Update Utilityn, on varsinaiset hyökkäykset kohdistettu vain tiettyihin tietokoneisiin, jotka on tunnistettu niiden MAC-osoitteen perusteella.

Kasperskyn haaviin jäi yli 600 uniikkia MAC-osoitetta 200 hyökkäyksessä käytetyn haittaohjelmaverison otannasta, mutta se ei sulje pois mahdollisuutta muista MAC-osoitteista eri haittaohjelmaversioissa. Haittaohjelma asensi tietokoneisiin erilaisia takaovia, joita voidaan hyödyntää muissa hyökkäyksissä.

Saastuneen Asus Live Update Utilityn havaitseminen oli vaikeaa ja meni pitkään tutkien ohi, sillä hakkerit ovat onnistuneet allekirjoittamaan saastutetut versiot Asuksen nimissä ja ne on jaettu Asuksen virallisilta päivityspalvelimilta.

Tämän hetkisten tutkimusten perusteella vaikuttaa siltä, että hyökkäyksen takana on vuoden 2017 ShadowPad-hyökkäyksistä tuttu taho, jonka Microsoft on nimennyt Bariumiksi. Bariumin epäillään olevan yhteydessä myös muihin meneillään oleviin tai lähiaikoina tapahtuneisiin hyökkäyksiin.

Kaspersky on julkaissut työkalun, jolla voi tarkistaa löytyykö oman tietokoneen MAC-osoitetta hyökkäyskohteiden listalta. Työkalusta on saatavilla sekä omalla koneella ajettava versio että nettiversio. Kasperskyn antama tunniste haittaohjelmalle on HEUR:Trojan.Win32.ShadowHammer.gen.

Päivitys:

Asus on julkaissut tiedotteen asian tiimoilta. Yhtiön mukaan tämän tyyppiset hyökkäykset eivät tyypillisesti kohdistu kuluttajiin vaan erilaisiin yrityksiin ja organisaatioihin. Asuksen mukaan Live Update Utility on jo korjattu ja versiosta 3.6.8 lähtien vapaa haittaohjelmista. Lisäksi yhtiö julkaisi työkalun, jolla voi tarkistaa oman tietokoneensa haittaohjelman varalta.

Lähde: SecureList

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[E.T]

Vähän Asuksella parantamista tietoturvassa, kun on saatu heidän palvelimilleen tuo "parannettu" ohjelma...
Voisivat puolittaa PR BS osastonsa koon ja siirtää niitä rahoja tietoturvaan.
Ehkä sitten riittäisi rahaa edes kohtuulliseen prossu-VRM:än emolevyissäkin.

 

[Sire]

Erityisesti nyt Asus voisi kehittää sivuilleen sellaisen häikäisevän hienon ominaisuuden, että tukiosiossa olisi suora linkki uusimman Asus Live Updaten asennustiedostoon. Mokoma softa ei taida osata edes päivittää itse itseään.

Asuksen nykyinen virallinen ohjeistus on hakea supportista omaa konemallia ja ladata asennustiedosto sen tukisivulta -> sielläpä ei ole listattuna kuin jokin ihan aataminaikainen versio, koska ketään ei kiinnosta päivittää jaettavia paketteja. Siitä sitten arpomaan, minkä konemallin alta tai miltä "luotettavan" kolmannen osapuolen sivustolta sen uusimman version saa...

 

[aiwan]

On kyllä uskomattoman onneton toi Asuksen tiedote, ihan niinkuin niillä ei olisi tietoturvatiimiä ollenkaan, tai sitten ne ovat aivan kädettömiä, tai on ripulit niin pahasti housuissa että tuonkin pökäleen tuottaminenkin oli melkein ylivoimaista.

Hieman lisää pohdintoja eiliseltä toisessa triidissä, jos kiinnostaa: Tietoturvauutiset ja blogipostaukset

Itse en ole ollenkaan vakuuttunut että homma on tällä selvä.

 

[antero]

Shadow Hammer APT MAC Check


Ei olisi ensimmäinen kerta kun yritys itse laittaa viruksen levitykseen. Yleensä noissa aasian maissa luotetaan enemmän tuuriin.
Keksitty vain selitys hakkerista ettei yrityksen maine kärsi.
Voisi olla jotain valtiollista toimintaa.

Muistuttaa israelin/usan voimalaitosvirusta.

"This wouldn't be the first time ASUS was accused of compromising the security of its customers. In 2016, the company was charged by the Federal Trade Commissionwith misrepresentation and unfair security practices over multiple vulnerabilities in its routers, cloud back-up storage and firmware update tool that would have allowed attackers to gain access to customer files and router log-in credentials, among other things. The FTC claimed ASUS knew about those vulnerabilities for at least a year before fixing them and notifying customers, putting nearly a million US router owners at risk of attack. ASUS settled the case by agreeing to establish and maintain a comprehensive security program that would be subject to independent audit for 20 years."

 

[Jees]

Kun EU ja jenkit tykkää näitä jättisakkoja ladella yrityksille milloin mistäkin syystä niin tässä olisi nyt oikeasti asiallinen paikka pistää miljardin sakko niin tulisi näihin asioihin vähän panostusta.

 

[0nanias]

Asuksen omat softat ovat niin käsittämätöntä kuraa, että tuo viruksilla kyllästetty versio voi oikeasti toimia jopa paremmin kuin alkuperäinen. </sarcasm>

 

[celeron]

Kuka hitto tota liveupdatea edes käyttää? Täysin hyödytön ollu alusta lähtien...

 

[maajussi]

Itsekin pelästyin, kun Asus emolevyä ja näytönohjainta käytän ja latasin tuon Asuksen tekemän diagnostiikka tiedoston, mutta sehän ilmoittaakin että "Only for ASUS machine" eli ei kosketa minua.

Joten siis tarkennuksena uutiseen, niin tämä saastuminen koskee vain Asus (notebook) kannettavien käyttäjiä ja niissä käytettyä softaa!

Lukee vielä tuolla Asuksen sivuillakin kysymys/vastaus osiossa:
Q: Have other ASUS devices been affected by the malware attack?
A: No, only the version of Live Update used for notebooks has been affected. All other devices remain unaffected.

 

[DjSunki]

Asus Live Update kuuluu niihin softiin, jotka koneelle asennettuna aiheuttavat kymmenkertaisen määrän ongelmia hyötyyn nähden. Todellinen rimanalitus ollut aina koko paska ja ei yllätä tämä uutinen.

 

[Sire]

Kuka hitto tota liveupdatea edes käyttää? Täysin hyödytön ollu alusta lähtien...

Mutulla 80-90% "taviksista" joilla on Asus-merkkinen kone. Hyödyttömyydestä olen samaa mieltä.

 

[Kaotik]

Analysis of ShadowHammer ASUS Attack First Stage Payload

Tarkempaa analyysia ShadowHammerista

 

[Kizmo]

Unohtamatta sitä että Asus jakelee crapwareansa myös näin
https://www.techpowerup.com/248827/asus-z390-motherboards-automatically-push-software-into-your-windows-installation

 

[skiip]

Asusta uuteen koneeseen tyrkänneenä täytyy kyllä myöntää että Asus tekee aivan järkyttävän huonoa softaa hyvälle raudalleen. Kyllä tämän pitäisi herättää Asuksella rekryämään taitavampaa porukkaa softan tekoon.

 

[njake]

Samaa mieltä monen ylläolevan kanssa Asuksen supportista ja softista.
Asuksen TPM piiri ja siinä oleva haavoittuvuus -> ei tullut koskaan korjausta, mutta onneksi toisen valmistajan ohjelmalla tämä onnistui.
Asuksen Xonar U7 äänikortti ja siinä erinäisiä ongelmia Windows 10 kanssa -> Tarjolla on 3-4 vuotta vanhoja ajureita, joista osa edelleen beta tasolla.

Bloatwaren takia ei kannata mitään asuksen softaa asentaa edes, vaan aina puhdas ajuri, jos mahdollista.

 

[Melbac]

Asus Live Update kuuluu niihin softiin, jotka koneelle asennettuna aiheuttavat kymmenkertaisen määrän ongelmia hyötyyn nähden. Todellinen rimanalitus ollut aina koko paska ja ei yllätä tämä uutinen.

Eipä minkään emon mukana tulevia softia tule muutenkaan käytettyä.

 

[Marti77]

Itsellä ei ole asus softien kanssa ollut ongelmia ennen kuin asensin asus aura ja tällä hetkellä g.skill muisteja ei pysty ohjamaan ollenkaan.
Tuo live uppdate ohjelmasta en edes tiennyt että oli sellainen ohjelma eli ovat varman kannettavien ja asus tietokoneiden ohjelmia ei erilliskomponenttien.