Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Вчера эксперты «Лаборатории Касперского» рассказали, что компания Asus стала жертвой вредоносной кампании ShadowHammer. Неизвестные злоумышленники скомпрометировали производителя, сумели закрепиться в сети и принялись раздавать бэкдоры через предустановленный на устройства Asus инструмент для автоматического обновления ASUS Live Update. Выводы аналитиков «Лаборатории Касперского» подтвердили их коллеги из компании Symantec.

Эксперты предупреждали, атака имела место между июнем и ноябрем 2018 года (то есть хакеры контролировали ASUS Live Update около полугода) и суммарно могла затонуть более миллиона устройств по всему миру, хотя изначальной целью атакующих был сравнительно небольшой пул пользователей. Злоумышленники «опознавали» своих жертв по зашитому в скомпрометированную утилиту списку MAC-адресов (исследователи обнаружили более 600 таких хэшей).

При этом представители Asus хранили молчание. К тому же выяснилось, что изначально производитель вообще отрицал факт компрометации своих серверов, пытался вынудить сотрудников «Лаборатории Касперского» подписать соглашение о неразглашении, а потом практически перестал поддерживать со специалистами контакт.

Так как вчера о случившемся стало известно всему миру, представители Asus были вынуждены выпустить официальный пресс-релиз, который, получился несколько странным. Так, в компании сообщили о релизе ASUS Live Update версии 3.6.8, содержащей исправления (то есть закрывающей «дыру», через которые хакеры поставляли бэкдоры на машины пользователей). При этом не совсем ясно, удаляет ли обновление все следы присутствия зараженной версии из системы. Также неясно, достаточно ли установки версии 3.6.8 для всех пострадавших, или пользователям, которые входили в список целей злоумышленников, уже пора бросать все дела и как минимум переустанавливать ОС.

Для предотвращения подобных инцидентов в будущем защитные механизмы утилиты были улучшены, а также появилось end-to-end шифрование. Кроме того, в Asus уверяют, что обновили и улучшили всю архитектуру, с помощью которой конечные пользователи «общаются» с серверами компании.

Также документ гласит, что произошедшая атака была не такой уж масштабной: якобы злоумышленников интересовала очень небольшая и специфическая группа пользователей, и вредоносный код проник на крайне малое количество устройств. Более того, производитель утверждает, что пострадали только владельцы ноутбуков. Никаких конкретных цифр представители Asus не называют, хотя у компании, в отличие от исследователей, есть доступ ко всем необходимым логами, и о проблеме в компании узнали еще два месяца тому назад.

В завершение стоит заметить, что «Лаборатория Касперского» вообще не упомянута в пресс-релизе Asus. Вместо этого к документу приложена ссылка на отчет компании FireEye, в общих чертах рассказывающий о деятельности APT-группировок, никак не связанных с данным инцидентом.

К сожалению, это не первый раз, когда компанию Asus уличают в применении слабых мер безопасности. Так, Федеральная торговая комиссия США уже судилась с Asus, и в 2016 году стороны пришли к соглашению, согласно которому в ближайшие 20 лет безопасность компании будут регулярно проверять независимые аудиторы. Впрочем, тогда речь шла только о подразделении, разрабатывающем домашние роутеры.

Теги: CSS, Asus компании Касперского» Live версии